Verschlüsselungstrojaner Erebus: Hoster zahlt 1 Million US-Dollar Lösegeld

Eine Linux-Version der Ransomware Erebus hat Server eines Hosters verschlüsselt und so Webseiten von Kunden lahmgelegt. Auf den Servern soll veraltete, von Sicherheitslücken durchsiebte Software zum Einsatz gekommen sein.

In Pocket speichern vorlesen Druckansicht 310 Kommentare lesen
Verschlüsselungstrojaner Erebus: Hoster zahlt 1 Million US-Dollar Lösegeld

(Bild: medithIT, CC BY 2.0)

Lesezeit: 2 Min.

Unbekannte Hacker haben 153 Linux-Server des südkoreanischen Hosters Nayana erfolgreich mit dem Erpressungsgstrojaner Erebus infiziert. Davon waren 3.500 Kunden-Webseiten betroffen. Anfangs haben sie ein Lösegeld von 4,4 Millionen US-Dollar verlangt, berichtet Trend Micro unter Berufung auf offizielle Statements von Nayana.

Schlussendlich haben sich Erpresser und Opfer dem Bericht zufolge auf die Zahlung von 1 Million US-Dollar geeinigt. Derzeit sollen die Techniker des Hosters die Daten wiederherstellen. Dabei soll es zu nicht näher beschriebenen Schwierigkeiten kommen. Zudem fordert der Prozess viel Zeit ein, erklärt der Hoster.

Wie sich der Trojaner im Detail auf die Server geschlichen hat, ist gegenwärtig unklar. Wahrscheinlich ist, dass Erebus über eine Sicherheitslücke eingedrungen ist. Schließlich kam auf den Servern der veraltete Linux-Kernel 2.6.24.2 aus dem Jahr 2008 zum Einsatz. Dementsprechend waren die Server etwa für die Dirty-Cow-Lücke anfällig.

Zusätzlich sollen elf Jahre alte und verwundbare Apache- (1.3.36) und PHP-Versionen (5.1.4) installiert gewesen sein. In diesem Kontext erwähnen die Sicherheitsforscher zudem Struts, das offenbar in einer angreifbaren Version zum Einsatz kam. Über eine kürzlich geschlossene Schwachstelle könnten Angreifer Server aus der Ferner komplett übernehmen. In diesem Fall deuten jedoch einige Faktoren darauf hin, dass es sich um einen lokalen Übergriff gehandelt haben könnte.

Die erste Version von Erebus hat es Anfang 2017 noch auf Windows-Systeme abgesehen und konnte mit einem Kniff die UAC-Abfrage von Windows umgehen. Über Gemeinsamkeiten und Unterschiede zur Linux-Portierung ist gegenwärtig nichts bekannt.

[UPDATE 20.06.2017 11:00 Uhr]

Erwähnung von Struts im Fließtext angepasst. (des)