BitPaymer ist der klangvolle Name eines gefährlichen Cryptolockers, der derzeit von Cyberkriminellen verbreitet wird, eine Sicherheitslücke in Apples iTunes oder iCloud ausnutzt und dabei auch Windows Systeme befallen kann, die das Programm längst deinstalliert haben.
Welches Ziel BitPaymer verfolgt, welche bevorzugten Angriffsziele die Ransomware hat und wie Sie sich effektiv schützen können, erfahren Sie hier.
BitPaymer verschlüsselt die Daten.
Bild: Pixabay / VISHNU_KV
BitPaymer – gefährliche Ransomware
Bei BitPaymer handelt es sich um eine klassische Ransomware. Bedeutet: Die Schadsoftware verschafft sich Zugang zum System, verschlüsselt dort wichtige (oder gar alle) Daten und fordert im Anschluss daran ein entsprechendes Lösegeld, das übrigens verhältnismäßig hoch sein soll. Bereits seit Sommer 2017 treibt sie ihr Unwesen und hat es dabei vornehmlich auf einzelne Unternehmen und öffentliche Einrichtungen abgesehen.
Prominenteste Opfer waren gleich mehrere Krankenhäuser in Schottland, jüngstes Opfer ein Betrieb aus der Automobilindustrie. Hier hatte sich der Sicherheitsanbieter Morphisec nach dem Ransomware-Befall auf Spurensuche begeben und in diesem Zusammenhang die iTunes Sicherheitslücke entdeckt. Ein detaillierter Bericht über die Vorgehensweise und das Ergebnis findet sich im hauseigenen Blog.
Im direkten Anschluss an die Infiltration hatte BitPaymer einen Großteil der gespeicherten Dateien verschlüsselt und die Dateinamen-Erweiterung „locked“ angehängt. Parallel dazu erzeugte die Schadsoftware für jede verschlüsselte Datei eine neue Textdatei. Alle Textdateien enthielten identische Meldungen über den Verschlüsselungsvorgang und die gewünschte Lösegeld-Zahlung. Netterweise verbunden mit einer genauen Anleitung, was wann und wie zu tun sei, um die Daten wieder nutzen zu können.
Bonjour Erpressertrojaner
Streng genommen liegt das Einfallstor für BitPaymer beim Dienst Bonjour. Selbiger wird mit iTunes, Quicktime und auch der iCloud sowie Adobe Creative Cloud automatisch mitinstalliert. Seine Aufgabe ist, dass sich Geräte und Computer, die Musik freigeben, von alleine und automatisch im Netzwerk finden. Bonjour galt daher schon immer für wenig nützlich, nervig und anfällig bezüglich Sicherheitsrisiken.
Genutzt hat es aber wenig, denn nach wie vor ist Bonjour Teil vieler Installationen, ohne dass der einzelne Nutzer das überhaupt merkt. Besonders unglücklich ist dabei auch die Tatsache, dass Bonjour selbst bei einer vollständigen iTunes-Deinstallation nicht mit verschwindet, sondern manuell entfernt werden muss. Bedeutet im konkreten Fall: Auch Anwender, die iTunes und Co. schon lange nicht (mehr) nutzen, sind gefährdet.
Das Problem im aktuellen Fall ist darüber hinaus, dass klassische Antivirus-Software den schädlichen Eindringling nicht entdeckt. Über die Sicherheitslücke schafft es BitPaymer, den Dienst Bonjour zu starten, dessen Ausführungspfad zu übernehmen und für seine Zwecke zu nutzen. Da der Cryptolocker aber keine Admin-Rechte erhält, bleibt er unter dem Radar gängiger Virenscanner.
iCloud / iTunes Sicherheitslücke stopfen
Hersteller Apple hat direkt nach Kenntnisnahme der Schwachstelle reagiert, die betroffene Sicherheitslücke gestopft und Anfang der Woche entsprechende Updates bereitgestellt. Es bleibt aber dabei, dass der bereits installierte Bonjour-Dienst manuell entfernt werden muss. Alternativ ist man auf der sicheren Seite, wenn man sowohl die iCloud als auch iTunes komplett neu installiert.
Generell zeigt auch dieser Fall wieder deutlich, wie anfällig Unternehmen ohne zentrales Patch-Management sind und wie wichtig die schnelle und konsequente Durchführung aller relevanten Software-Updates ist.
Wenn Sie sich als Unternehmer lieber auf Ihr Kerngeschäft konzentrieren wollen, statt sich selbst um sämtliche Aktualisierungen aller eingesetzten Programme zu kümmern, wenden Sie sich doch an einen unserer Experten aus dem IT-SERVICE.NETWORK. Wir bieten Ihnen ein zentrales Patch-Management als skalierbare Dienstleistung an und sorgen so automatisch dafür, dass Ihre Arbeitsplätze jederzeit bestmöglich geschützt sind. Lassen Sie sich gern unverbindlich und individuell zu den Möglichkeiten und Rahmenbedingungen beraten.
Geschrieben von
Lena Klaus arbeitet seit 2018 als freie Autorin und SEO-Expertin für das IT-SERVICE.NETWORK. Besonders die Themen rund um den digitalen Wandel und New Work haben es ihr angetan. Darüber hinaus ist die erfahrene Texterin immer wieder fasziniert davon, welche neue Methoden und Tricks Hackern und Cyberkriminellen einfallen. Seit 2013 kennt Lena Klaus die IT-Branche und… Weiterlesen
Schreiben Sie einen Kommentar
* = Pflichtfelder
Bitte beachten Sie unsere Datenschutzerklärung