Bislang sah es so aus, als würde TeslaCrypt vor allem via E-Mail verteilt. Versehentlich geöffnete Word-Dateien mit bösartigen Makros waren ein übliches Infektionsszenario. So konzentrierten sich viele zu ihrem Schutz auf den Mail-Eingang. Das könnte fatale Folgen haben; denn mittlerweile kann man sich den Erpressungs-Trojaner auch beim Surfen einfangen.
Der Schädling lauert dabei auf scheinbar harmlosen Seiten und nutzt Sicherheitslücken in Windows beziehungsweise der installierten Software aus, um aktiv zu werden. Kurze Zeit später erscheint dann die Nachricht, dass die Dateien verschlüsselt wurden und nur gegen Zahlung von Bitcoins wieder zu entschlüsseln sind. Die Opfer können auf Dokumente, PDFs, Bilder und anderen Daten nicht mehr zugreifen, denn TeslaCrypt hat daraus verschlüsselte Dateien etwa mit der Endung .mp3 gemacht.
Auf den Spuren der Täter
Experten einer Spezialeinheit Cybercrime des LKA Niedersachsen sind bei ihren Ermittlungen in mehreren, voneinander unabhängigen Fällen auf infizierte Joomla-Server gestoßen, die TeslaCrypt verteilten. Das seltsame daran: Es stellte sich heraus, dass die Joomla-Installationen auf dem aktuellen Stand waren und keine offenkundigen Sicherheitslücken aufwiesen, über die die Kriminellen eindringen konnten.
Des Rätsels Lösung: Der letzte große Joomla-Sicherheits-Patch vom 14. Dezember vorigen Jahres stopfte ein Loch, das bereits seit einigen Tagen ausgenutzt wurde, bevor man sich schützen konnte. Noch dazu musste das Joomla-Team ein weiteres Update nachlegen. In dem 0day-Fenster wurden viele Systeme kompromittiert. Eine dabei eingebaute Hintertür wurde durch das Einspielen des Udpates nicht geschlossen; über sie können die Einbrecher dann später noch Schad-Code in das scheinbar sichere System einschleusen. Aller Wahrscheinlichkeit nach handelt es sich bei dem Joomla-Servern mit TeslaCrypt um solche Fälle.
In den bekannten Fällen lag der Schad-Code in den Dateien
/administrator/includes/defines.php
/includes/defines.php
Quelle: