KeRanger: Analyse der OS X-Ransomware zeigt Überraschendes

Trojaner, os x, Erpressung, Ransomware, Transmission
Weitergehende Untersuchungen der Ransomware "KeRanger", die auf Nutzer des Apple-Betriebssystems OS X abzielt, haben überraschendes zu Tage befördert. Entgegen erster Vermutungen hat die Malware ihren Ursprung nicht bei einem der zahlreichen Krypto-Trojaner für Windows-Systeme.
Statt dessen haben die Entwickler von KeRanger es sich dann doch etwas leichter gemacht. Laut Analysen des rumänischen Security-Unternehmens Bitdefender kann der Code eher auf eine Ransomware zurückgeführt werden, die seit Monaten aktiv ist und es auf Linux-Server abgesehen hat. Dieser Schädling wird in den Datenbanken der Sicherheitsbranche unter dem Namen "Linux.Encoder" geführt.

Linux.Encoder wurde erstmals im November letzten Jahres auffällig. Die Ransomware greift Linux-Server an und versucht auf diesen Dateien zu verschlüsseln, den Betrieb einer Webseite wichtig sind. Aber auch Quellcode-Repositories werden gesucht und für die Erpressung des Server-Betreibers eingesetzt. Aber auch Linux.Encoder war schon keine Eigenentwicklung, sondern konnte auf die Hidden Tear-Familie zurückgeführt werden, deren Quellcode der türkische Sicherheitsforscher Utku Sen vor einiger Zeit auf GutHub veröffentlichte.


Die Entwicklungsgeschichte von KeRanger konnte in dieser Form rekonstruiert werden, weil insbesondere die Verschlüsselungs-Routinen nicht nur in ihrer Funktionsweise weitgehend ähnlich sind, sondern auch die gleichen Namen tragen. Unklar ist derzeit allerdings noch, ob der Entwickler hinter Linux.Encoder sich entschieden hat, es auch mal mit Angriffen auf Mac-Nutzer zu versuchen, oder ob er seinen Code an andere Kriminelle lizenzierte.

KeRanger hat kaum Erfolg

Ansonsten stellt KeRanger eher eine Kuriosität in der Ransomware-Szene als eine erfolgreiche Malware dar. Der Schädling wurde bereits entdeckt, nachdem die Software, in der er verborgen war, gerade einmal einige tausend Mal heruntergeladen worden war. Wie viele Infektionen daraus tatsächlich resultierten, ist aktuell noch nicht genau zu überblicken. Zum Vergleich: Die letzte große Ransomware-Kampagne im Windows-Bereich, die als "Locky" verbucht ist, brachte es allein im deutschsprachigen Raum zeitweise auf weit mehr als 5.000 Infektionen pro Stunde.

Der große Unterschied ist nicht einfach nur durch die unterschiedliche Verbreitung der Plattformen zu erklären, sondern auch durch den Verbreitungsweg. Locky wurde in großen Mengen per Spam-Anhang verschickt. Die Schadroutinen von KeRanger integrierte man hingegen in den Quellcode der OS X-Version des recht weit verbreiteten BitTorrent-Clients Transmission. Auf diesem Weg muss man zwar von einer wesentlich geringeren Verbreitung ausgehen, kann sich aber weitgehend sicher sein, dass die heruntergeladenen Codes auch tatsächlich installiert werden, während der überwiegende Teil der Spam-Mails ohne einen Klick auf den Anhang im Müll landet.

Download
Transmission-Qt - Windows-Version des BitTorrent-Clients
Trojaner, os x, Erpressung, Ransomware, Transmission Trojaner, os x, Erpressung, Ransomware, Transmission
Diese Nachricht empfehlen
Kommentieren18
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Aktuelle IT-Stellenangebote

Jetzt als Amazon Blitzangebot

Ab 03:40 Uhr Ausdom Autokamera Dashcam AD260 2.7 ' Black Box mit G-Sensor
Ausdom Autokamera Dashcam AD260 2.7 ' Black Box mit G-Sensor
Original Amazon-Preis
94,99
Im Preisvergleich ab
?
Blitzangebot-Preis
80,48
Ersparnis zu Amazon 15% oder 14,51

Tipp einsenden