In letzter Zeit häufen sich Fälle, in denen ein Trojaner Daten auf fremden Rechnern verschlüsselt und zur Zahlung von „Lösegeld“ für die Entschlüsselung fordert. Wie Heise Security und t3n nun berichten, droht die Gefahr, sich diesen Trojaner einzufangen nicht nur in infizierten Mails, auch auf scheinbar harmlosen Websites lauert die Gefahr und nutzt Sicherheitslücken in Windows beziehungsweise der installierten Software aus, um aktiv zu werden.
Nach Medienangaben haben Experten einer Spezialeinheit Cybercrime des LKA Niedersachsen herausgefunden, dass auch gehackte Websites zur Verbreitung von TeslaCrypt beitragen können.
Für viele Webmaster ein Rätsel: Auch Websites die die neuste Version des CMS installiert haben, können betroffen sein, nicht nur veraltete Installationen mit bekannten Sicherheitslücken. Im Fall von Joomla geht man davon aus, dass das Eindringen in die Website am oder kurz nach dem 14. Dezember 2015 stattfand, als für Joomla ein Sicherheitsproblem bekannt wurde und mittels eines großen Sicherheitsupdates geschlossen wurde, die meisten Webmaster jedoch nicht unmittelbar mit erscheinen des Updates ihre Website aktualisiert haben (sogenannte Zero-Day-Lücke).
In diesem Zero-Day-Fenster wurden offensichtlich viele Systeme kompromittiert und eine Hintertür eingebaut, so dass Kriminelle auch nach dem Update noch Schad-Code in das scheinbar sichere System einschleusen können.
Webmastern wird dringend empfohlen, ihre Websites auf einen Befall zu prüfen. Zudem sollten Betreiber von Websites auch kontinuierlich Backups ihrer Seiten anlegen, um ggf. die Website nach einer Hackerübernahme wieder herstellen zu können.
Weitere Informationen zum Thema:
http://www.heise.de/security/meldung/Infizierte-Joomla-Server-verteilen-Erpressungs-Trojaner-TeslaCrypt-3114184.html
http://t3n.de/news/joomla-ransomware-teslacrypt-682672/
Bild: billionphotos.com
Ein Beitrag von Martin Schmidt
Zurück zur Artikelübersicht