ALPHV Ransomware zielt auf alte Veritas-Backup Schwachstellen

ALPHV Ransomware zielt auf alte Veritas-Backup Schwachstellen

Beitrag teilen

Ein Ransomware-Partner von ALPHV sucht laut Mandiant verstärkt nach alten Sicherheitslücken bei Veritas Backup-Installationen. Eigentlich sind die Lücken bereits seit 2021 bekannt – wohl aber viele nicht gepatcht. Es sollen sich aktuell über 8.500 Backup-Instanzen im Web finden lassen. 

Mandiant hat einen neuen ALPHV- Ransomware-Partner (alias BlackCat-Ransomware) beobachtet, der als UNC4466 verfolgt wird und auf öffentlich zugängliche Veritas Backup Exec-Installationen abzielt, die für die Schwachstellen CVE-2021-27876, CVE-2021-27877 und CVE-2021-27878 anfällig sind. Diese CVEs sind bereits seit März 2021 bekannt und es stehen auch Patches bereit. Allerdings haben einige Administratoren die Patches noch nicht umgesetzt.

Anzeige

8.500 Veritas Backup Exec-Instanzen im Netz

Ein kommerzieller Internet-Scan-Dienst hat über 8.500 Installationen von Veritas Backup Exec-Instanzen identifiziert, die derzeit via Internet erreichbar sind. Möglicherweise sind viele dieser Systeme noch nicht gepatcht und daher anfällig. Frühere von Mandiant untersuchte ALPHV-Angriffe setzten hauptsächlich auf gestohlene Zugangsdaten. Dieser Angriff könnte eine Verlagerung der Ziele sein indem man auf bekannte Schwachstellen setzt.

ALPHV entstand im November 2021 als Ransomware-as-a-Service, von dem einige Forscher behaupteten, es sei der Nachfolger von BLACKMATTER und DARKSIDE Ransomware. Während einige Ransomware-Betreiber Regeln erlassen haben, um Beeinträchtigungen kritischer Infrastrukturen und Gesundheitseinrichtungen zu vermeiden, hat ALPHV diese sensiblen Branchen weiterhin ins Visier genommen.

Zeitleiste in Sachen Veritas-Schwachstelle

  • Im März 2021 veröffentlichte Veritas eine Empfehlung, in der drei kritische Schwachstellen in Veritas Backup Exec 16.x, 20.x und 21.x gemeldet wurden.
  • Am 23. September 2022 wurde ein METASPLOIT-Modul veröffentlicht, das diese Schwachstellen ausnutzt und eine Sitzung erstellt, über die der Angreifer mit dem Opfersystem interagieren kann.
  • Am 22. Oktober 2022 beobachtete Mandiant erstmals die Ausnutzung der Veritas-Schwachstellen in freier Wildbahn.

Administratoren sollten unbedingt ihre Veritas Backup Exec-Instanzen überprüfen und die Lücken schließen. Denn immer häufiger kommt es vor, dass alte, ungepatchte Schwachstellen als Einfallstor für Ransomware & Co dienen. Der letzte große Angriff auf VMware ESXi-Server wurde auch durch eine alte Schwachstelle in nicht modernisierten bzw. gepatchten Versionen ausgenutzt.

Mandiant zeigt in seinem englischsprachigen Blog, wie technisch genau der Angriff auf die Schwachstellen in den Veritas Backup Exec-Installationen abläuft.

Mehr bei Mandiant.com

 


Über Mandiant

Mandiant ist ein anerkannter Marktführer für dynamische Cyberabwehr, Threat Intelligence und Incident Response. Mit jahrzehntelanger Erfahrung an vorderster Cyberfront hilft Mandiant Unternehmen dabei, sich selbstbewusst und proaktiv gegen Cyber-Bedrohungen zu verteidigen und auf Angriffe zu reagieren. Mandiant ist jetzt Teil von Google Cloud.


 

Passende Artikel zum Thema

Report: Vertrauenswürdige Windows Anwendungen missbraucht

In seinem neuen Active Adversary Report 2024 belegt Sophos den Wolf im Schafspelz: Cyberkriminelle setzten vermehrt auf vertrauenswürdige Windows-Anwendungen für ➡ Weiterlesen

Fünf lokale Schwachstellen in needrestart entdeckt

Ein Anbieter von Cloud-basierten IT-, Sicherheits- und Compliance-Lösungen, gab bekannt, dass die Qualys Threat Research Unit (TRU) fünf Local Privilege ➡ Weiterlesen

XDR: Schutz von Daten in Atlassian-Cloud-Applikationen

Mit einer neuen XDR-Erweiterung kann Bitdefender nun auch Daten in Atlassian-Cloud-Applikationen schützen. Somit ist das Überwachen, Erkennen und eine Reaktion auf ➡ Weiterlesen

Ausblick 2025: Lösungen für veränderte Angriffsflächen durch KI, IoT & Co

Die Angriffsfläche von Unternehmen wird sich im Jahr 2025 unweigerlich weiter vergrößern. Die datengetriebene Beschleunigung, einschließlich der zunehmenden Integration von ➡ Weiterlesen

Cloud Rewind für Wiederaufbau nach einer Cyberattacke

Eine neue Lösung für Cyber Recovery und zum Rebuild cloudzentrierter IT-Infrastrukturen. Commvault Cloud Rewind mit neuen Funktionen zum Auffinden von ➡ Weiterlesen

Medusa-Ransomware-Gruppe betreibt offenen Opfer-Blog im Web

Auch Cyberkriminelle pflegen neben der direkten Kommunikation mit dem Opfer ihre Außendarstellung. Denn Reputation ist ein wichtiger Erfolgsfaktor für Ransomware-as-a-Service-Unternehmen. Der ➡ Weiterlesen

Lokale Backups: Rückkehr zum sicheren Hafen

Warum Unternehmen lokale Backup-Strategien wiederentdecken: In den letzten Jahren haben sich Unternehmen zunehmend in die Abhängigkeit von Cloud-Lösungen manövriert - ➡ Weiterlesen

Ransomware Helldown nutzt Schwachstellen in Zyxel Firewalls aus

Wie das BSI meldet, gab es vermehrt Angriffe mit der Ransomware Helldown auf Unternehmensnetzwerke über eine Schwachstelle in Zyxel Firewalls. ➡ Weiterlesen