FairWare, die Ransomware für dein Linux

Zum Wochenende noch ein Hinweis für Benutzer, die unter Linux unterwegs sind. Eine als FairWare bezeichnete Ransomware zielt auf diese Plattform ab und versucht dort Dateien zu löschen und Lösegeld zu erpressen.


Anzeige

Ich nehme mir immer mal wieder vor, mehr zu Linux hier im Blog zu bringen. Gibt zwar gelegentlich Linux-Beiträge, aber Windows spielt die erste Geige. Aber fangen wir einfach mal an – und weil Linux-Anhänger über die von Ransomware geplagten Windows-Jünger lächeln, packe ich mal einfach beide Themen zusammen.

FairWare zielt auf Webserver mit Linux

Das Erwachen für die Betreiber einer Website, die auf einem Linux-Server gehostet ist, ist brutal. Plötzlich ist die Webseite nicht mehr erreichbar. Meldet sich der Betroffene am Linux-Server an, stellt er fest, dass der Web-Ordner www gelöscht wurde. Stattessen findet sich im Root-Verzeichnis eine Readme-Datei mit einem Link auf Pastebin. Dort findet sich der Hinweis:

YOUR SERVER HAS BEEN INFECTED BY FAIRWARE |
YOUR SERVER HAS BEEN INFECTED BY FAIRWARE

Hi,

Your server has been infected by a ransomware variant called FAIRWARE. You must send 2 BTC to: 1DggzWksE2Y6DUX5GcNvHHCCDUGPde8WNL within 2 weeks from now to retrieve your files and prevent them from being leaked!

We are the only ones in the world that can provide your files for you! When your server was hacked, the files were encrypted and sent to a server we control!

You can e-mail fairware@sigaint.org for support, but please no stupid questions or time wasting! Only e-mail if you are prepared to pay or have sent payment! Questions such as: "can i see files first?" will be ignored. We are business people and treat customers well if you follow what we ask.

und es wird ein Lösegeld von zwei Bitcoins (2 BTC = $1.153) gefordert, um die Dateien zurück zu bekommen und zu verhindern, dass diese geleakt werden.

FairWare

Der Verweis auf das Leak soll wohl Druck aufbauen, dass die Datenbank mit Benutzerdaten weiter gegeben wird. Der obige Screenshot zeigt die Nachricht.

Entdeckt wurde dies von Benutzern, die bei bleepingcomputer.com im Forum über den Fall berichten. Laut einem Nutzer wird ein erfolgreicher Brute Force SSH-Angriff vermutet, bei dem der Hacker Zugriff auf die Linux-Maschine erhielt. Momentan gibt es noch wenig Informationen zum Thema – es ist auch nicht sicher, ob der Angreifer die Dateien vor dem Hochladen irgendwo gesichert hat. Der ganze Vorgang ist bei bleepingcomputer.com als Blog-Beitrag dokumentiert.


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter Linux, Sicherheit abgelegt und mit , , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

6 Antworten zu FairWare, die Ransomware für dein Linux

  1. Tim sagt:

    "und weil Linux-Anhänger über die von Ransomware geplagten Windows-Jünger lächeln, packe ich mal einfach beide Themen zusammen."

    Einen gehackten Linux Server, auf den die Hacker wohl Vollzugriff hatten mit einem normalen Desktop (Überschrift: dein Linux) Linux, oder sogar Windows zu vergleichen, ist im Falle von Ransomware nun aber auch etwas gewagt, um es in eine Schublade stecken zu wollen.
    Die Überschrift "FairWare, die Ransomware für dein Linux" daher "leicht" irreführend, find ich.

  2. Tim sagt:

    …ach um Redis Server geht es eigentlich, wo der Kram drauf Huckepack reitet.

    http://www.bleepingcomputer.com/news/security/hacked-redis-servers-being-used-to-install-the-fairware-ransomware-attack/

    Interessanter wäre mal aus welcher Paket Quelle das dann kommt.

    Gemäß einem Kommentar:

    "I got this on an up-to-date Ubuntu 14.04 VPS hosted by bHost Limited 3 days ago.
    They removed /var/www/ & my entire /opt/ directory."

    könnte es wahlweise die offizielle Ubuntu Quelle wie auch ein direkter download sein.
    Probierts mal wer aus? ;)

    • Ralph sagt:

      Den Teufel werde ich tun :-)
      Ich vermute aber mal die üblichen Verdächtigen: ungepflegte Joomla- oder WordPress-Installation, gespickt mit dem einen oder anderen Plugin aus dubioser Quelle. Dann vielleicht noch ein root, der so bescheuert ist und seine Mails mit einem Mail-Client abholt und schon braucht es nicht einmal mehr brute force via ssh, sondern nur ausreichend Geduld beim anmelden an imap/pop3. Du willst in dem Zusammenhang nicht wissen, was ich schon alles gesehen habe bei Leuten, die unbedingt einen Server haben mussten, um damit prollen und prahlen zu können.

  3. Al CiD sagt:

    @Ralph – stimmt, wie so oft sind es meist Sicherheitslücken in tief im Betriebssystem integrierte Software die einem immer wieder Steine in den Weg legen…
    Die modernen Betriebssysteme wie Linux, MacOS, Bsd und auch Windows sind im Kern schon sehr sicher…
    Das Problem ist halt manche Software und auch mancher "Admin" ;-)

  4. Flo sagt:

    "Ich nehme mir immer mal wieder vor, mehr zu Linux hier im Blog zu bringen."

    Stimmt sollten Sie, bin nämlich mehr oder weniger Linux Neuling und würde hier gerne mehr über das Thema lesen.
    Auf der rechten Seite ihrer Website gibt es zwar die Sparte Inhalt, aber da steht nichts von Linux, wäre super wenn sich das ändern würde.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.