Nach dem Ransomware-Angriff WannaCry, der es geschafft hatte, die Benutzer veralteter Windows-Betriebssysteme heimzusuchen, gibt es jetzt eine SambaCry-Angriff, die gegen Linux-Server genutzt wird.
Wir alle gehen davon aus, dass die Linux-Systeme immun gegen Viren, Malware oder andere Arten von Angriffen sind. Aber Linux-Systeme werden tatsächlich von Malware angegriffen – wenn auch nicht von Viren. Und der neueste Malware-Angriff namens SambaCry scheint nur auf Linux-Server abzuzielen. Dies mag viele Leute überraschen, aber es gibt immer gewisse Schlupflöcher, die man relativ einfach ausnutzen kann, und Linux ist keine Ausnahme.
Eine neue Malware namens Linux.MulDrop.14 hat es geschafft, die Benutzer mit ältere Versionen von Rasbian OS – Raspberry-Benutzer, die die Standardwörter ihrer Geräte nicht geändert haben. Der Linux-Trojaner Linux.MulDrop.14 ist ein Bash-Skript, das ein Kryptowährungs-Mining-Programm enthält, das mit gzip und Base 64-Verschlüsselung komprimiert wird.
Nach der Infektion der mit Raspberry Pi betriebenen Geräte wird das Kryptowährungsprogramm gestartet. Darüber hinaus installiert das Bash-Skript Bibliotheken, die für das Mining von Kryptowährungen benötigt werden. Da diese Malware kurz vor dem WannaCry-Ausbruch entdeckt wurde, wird sie als EwigRot or SambaCry.
Nach Angaben der US-Organisation Forscher der Secure List, SambaCry führt das Open-Source-Miner-Dienstprogramm U Miner (miderd) aus und die Kryptowährung, die hier abgebaut wird, ist Monero. Bisher wurden bereits XMR im Wert von rund 5,400 US-Dollar von den Angreifern ihrer Unternehmungen abgebaut.
Es gibt keine Lösegeldforderung im Zusammenhang mit diesem Angriff. Stattdessen installierten die Kriminellen einfach die notwendigen Tools auf dem Server und ließen ihn unterwegs XMR generieren. Der Angreifer verwendet die Remote-Shell, um den modifizierten „Uminer“ zu installieren, eine Kryptowährungs-Mining-Software, die die digitale Währung „Monero“ abbaut, die einige Forscher EternalMiner nennen.
Cryptocurrency Miner #EternalMiner mit automatisierten #SambaCry #CVE_2017_7494 um Linux-Server zu infizieren. brandneues Muster @malwrhunterteam. pic.twitter.com/aXlEQKkdtq
— Omri Ben-Bassat (@beta_b0t) 8. Juni 2017
Die Aktionen von Malware gerieten ins Rampenlicht, nachdem ein Samba-Patch veröffentlicht wurde, der sich auf alle seit 2010 veröffentlichten Versionen bezog. Mit der gleichen Schwachstelle, die mit dem SMB-Protokoll ausgenutzt werden kann, kann ein Hacker eine Pipe auf Samba-Servern öffnen und bösartigen Code aus der Ferne ausführen .
Daher wird allen Systemen empfohlen, ihre Samba-Software zu aktualisieren und ihre Systeme gegen solche Angriffe immun zu machen.
