KeRanger: Analyse der OS X-Ransomware zeigt Überraschendes
Weitergehende Untersuchungen der Ransomware "KeRanger", die auf Nutzer des Apple-Betriebssystems OS X abzielt, haben überraschendes zu Tage befördert. Entgegen erster Vermutungen hat die Malware ihren Ursprung nicht bei einem der zahlreichen Krypto-Trojaner für Windows-Systeme.
Statt dessen haben die Entwickler von KeRanger es sich dann doch etwas leichter gemacht. Laut Analysen des rumänischen Security-Unternehmens Bitdefender kann der Code eher auf eine Ransomware zurückgeführt werden, die seit Monaten aktiv ist und es auf Linux-Server abgesehen hat. Dieser Schädling wird in den Datenbanken der Sicherheitsbranche unter dem Namen "Linux.Encoder" geführt.
Linux.Encoder wurde erstmals im November letzten Jahres auffällig. Die Ransomware greift Linux-Server an und versucht auf diesen Dateien zu verschlüsseln, den Betrieb einer Webseite wichtig sind. Aber auch Quellcode-Repositories werden gesucht und für die Erpressung des Server-Betreibers eingesetzt. Aber auch Linux.Encoder war schon keine Eigenentwicklung, sondern konnte auf die Hidden Tear-Familie zurückgeführt werden, deren Quellcode der türkische Sicherheitsforscher Utku Sen vor einiger Zeit auf GutHub veröffentlichte.
Die Entwicklungsgeschichte von KeRanger konnte in dieser Form rekonstruiert werden, weil insbesondere die Verschlüsselungs-Routinen nicht nur in ihrer Funktionsweise weitgehend ähnlich sind, sondern auch die gleichen Namen tragen. Unklar ist derzeit allerdings noch, ob der Entwickler hinter Linux.Encoder sich entschieden hat, es auch mal mit Angriffen auf Mac-Nutzer zu versuchen, oder ob er seinen Code an andere Kriminelle lizenzierte.
Der große Unterschied ist nicht einfach nur durch die unterschiedliche Verbreitung der Plattformen zu erklären, sondern auch durch den Verbreitungsweg. Locky wurde in großen Mengen per Spam-Anhang verschickt. Die Schadroutinen von KeRanger integrierte man hingegen in den Quellcode der OS X-Version des recht weit verbreiteten BitTorrent-Clients Transmission. Auf diesem Weg muss man zwar von einer wesentlich geringeren Verbreitung ausgehen, kann sich aber weitgehend sicher sein, dass die heruntergeladenen Codes auch tatsächlich installiert werden, während der überwiegende Teil der Spam-Mails ohne einen Klick auf den Anhang im Müll landet.
Download Transmission-Qt - Windows-Version des BitTorrent-Clients
Linux.Encoder wurde erstmals im November letzten Jahres auffällig. Die Ransomware greift Linux-Server an und versucht auf diesen Dateien zu verschlüsseln, den Betrieb einer Webseite wichtig sind. Aber auch Quellcode-Repositories werden gesucht und für die Erpressung des Server-Betreibers eingesetzt. Aber auch Linux.Encoder war schon keine Eigenentwicklung, sondern konnte auf die Hidden Tear-Familie zurückgeführt werden, deren Quellcode der türkische Sicherheitsforscher Utku Sen vor einiger Zeit auf GutHub veröffentlichte.
Die Entwicklungsgeschichte von KeRanger konnte in dieser Form rekonstruiert werden, weil insbesondere die Verschlüsselungs-Routinen nicht nur in ihrer Funktionsweise weitgehend ähnlich sind, sondern auch die gleichen Namen tragen. Unklar ist derzeit allerdings noch, ob der Entwickler hinter Linux.Encoder sich entschieden hat, es auch mal mit Angriffen auf Mac-Nutzer zu versuchen, oder ob er seinen Code an andere Kriminelle lizenzierte.
KeRanger hat kaum Erfolg
Ansonsten stellt KeRanger eher eine Kuriosität in der Ransomware-Szene als eine erfolgreiche Malware dar. Der Schädling wurde bereits entdeckt, nachdem die Software, in der er verborgen war, gerade einmal einige tausend Mal heruntergeladen worden war. Wie viele Infektionen daraus tatsächlich resultierten, ist aktuell noch nicht genau zu überblicken. Zum Vergleich: Die letzte große Ransomware-Kampagne im Windows-Bereich, die als "Locky" verbucht ist, brachte es allein im deutschsprachigen Raum zeitweise auf weit mehr als 5.000 Infektionen pro Stunde.Der große Unterschied ist nicht einfach nur durch die unterschiedliche Verbreitung der Plattformen zu erklären, sondern auch durch den Verbreitungsweg. Locky wurde in großen Mengen per Spam-Anhang verschickt. Die Schadroutinen von KeRanger integrierte man hingegen in den Quellcode der OS X-Version des recht weit verbreiteten BitTorrent-Clients Transmission. Auf diesem Weg muss man zwar von einer wesentlich geringeren Verbreitung ausgehen, kann sich aber weitgehend sicher sein, dass die heruntergeladenen Codes auch tatsächlich installiert werden, während der überwiegende Teil der Spam-Mails ohne einen Klick auf den Anhang im Müll landet.
Download Transmission-Qt - Windows-Version des BitTorrent-Clients
Thema:
Neue MacOS-Videos
- Ein Jahr Liquid Glass: Was bleibt von Apples kritisierter UI-Optik?
- Ähnlicher Preis bringt die Frage auf: MacBook Neo oder ein iPad?
- Windows 11 statt MacOS: Parallels Desktop 17 für Mac veröffentlicht
- Windows, iOS & Android: Xbox Cloud Gaming jetzt für alle verfügbar
- WWDC 2021: Die Ankündigungen von Tag 1 im Überblick
Beiträge aus dem Forum
-
KeePass Der Open-Source Passwort-Manager für Windows, Linux, macOS,
d-hubs -
Wie alt sollte ein MacBook höchstens sein?
MiezMau -
Virtuellen PDF Drucker auf Macbook installieren - wie ?
Sonnenschein11 -
Surfstick für MacBook Air mit Sonoma 14
landbastler -
Win-Viren am Mac prüfen?
mondayand0 -
Kontextmenu bearbeiten
Brutschi -
Office 2019 MAC Problem
MiyaGi -
MacOS verliert bei ExFAT die Finder-Kommentare
Brutschi -
Windows Systemabbild wiederherstellen - hänge an einer Stelle :-(
der dom -
Safari springt immer wieder zum Homescreen
der dom
Beliebte Downloads
Weiterführende Links
Neue Nachrichten
- Microsoft erklärt: Das sind die Update-Typen für Windows 11
- VW ID Polo: Elektro-Kleinwagen startet in Kürze für unter 25.000 Euro
- Nächstes FritzOS-Update sichert WireGuard-VPN per Kill-Switch
- Lidl Datenleck: Hacker erbeuten sensible Kundendaten im Netz
- Disney+ plant Gratis-Tarif: Werbefinanziertes Streaming kommt
- Fenster bricht im Flug, saugt Mann teilweise aus einer Ryanair-Maschine
- Galaxy Watch 9 & Ultra 2: Samsung setzt auf neue CPU & größere Akkus
Videos
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen