ALPHV Ransomware zielt auf alte Veritas-Backup Schwachstellen

ALPHV Ransomware zielt auf alte Veritas-Backup Schwachstellen

Beitrag teilen

Ein Ransomware-Partner von ALPHV sucht laut Mandiant verstärkt nach alten Sicherheitslücken bei Veritas Backup-Installationen. Eigentlich sind die Lücken bereits seit 2021 bekannt – wohl aber viele nicht gepatcht. Es sollen sich aktuell über 8.500 Backup-Instanzen im Web finden lassen. 

Mandiant hat einen neuen ALPHV- Ransomware-Partner (alias BlackCat-Ransomware) beobachtet, der als UNC4466 verfolgt wird und auf öffentlich zugängliche Veritas Backup Exec-Installationen abzielt, die für die Schwachstellen CVE-2021-27876, CVE-2021-27877 und CVE-2021-27878 anfällig sind. Diese CVEs sind bereits seit März 2021 bekannt und es stehen auch Patches bereit. Allerdings haben einige Administratoren die Patches noch nicht umgesetzt.

8.500 Veritas Backup Exec-Instanzen im Netz

Ein kommerzieller Internet-Scan-Dienst hat über 8.500 Installationen von Veritas Backup Exec-Instanzen identifiziert, die derzeit via Internet erreichbar sind. Möglicherweise sind viele dieser Systeme noch nicht gepatcht und daher anfällig. Frühere von Mandiant untersuchte ALPHV-Angriffe setzten hauptsächlich auf gestohlene Zugangsdaten. Dieser Angriff könnte eine Verlagerung der Ziele sein indem man auf bekannte Schwachstellen setzt.

ALPHV entstand im November 2021 als Ransomware-as-a-Service, von dem einige Forscher behaupteten, es sei der Nachfolger von BLACKMATTER und DARKSIDE Ransomware. Während einige Ransomware-Betreiber Regeln erlassen haben, um Beeinträchtigungen kritischer Infrastrukturen und Gesundheitseinrichtungen zu vermeiden, hat ALPHV diese sensiblen Branchen weiterhin ins Visier genommen.

Zeitleiste in Sachen Veritas-Schwachstelle

  • Im März 2021 veröffentlichte Veritas eine Empfehlung, in der drei kritische Schwachstellen in Veritas Backup Exec 16.x, 20.x und 21.x gemeldet wurden.
  • Am 23. September 2022 wurde ein METASPLOIT-Modul veröffentlicht, das diese Schwachstellen ausnutzt und eine Sitzung erstellt, über die der Angreifer mit dem Opfersystem interagieren kann.
  • Am 22. Oktober 2022 beobachtete Mandiant erstmals die Ausnutzung der Veritas-Schwachstellen in freier Wildbahn.

Administratoren sollten unbedingt ihre Veritas Backup Exec-Instanzen überprüfen und die Lücken schließen. Denn immer häufiger kommt es vor, dass alte, ungepatchte Schwachstellen als Einfallstor für Ransomware & Co dienen. Der letzte große Angriff auf VMware ESXi-Server wurde auch durch eine alte Schwachstelle in nicht modernisierten bzw. gepatchten Versionen ausgenutzt.

Mandiant zeigt in seinem englischsprachigen Blog, wie technisch genau der Angriff auf die Schwachstellen in den Veritas Backup Exec-Installationen abläuft.

Mehr bei Mandiant.com

 


Über Mandiant

Mandiant ist ein anerkannter Marktführer für dynamische Cyberabwehr, Threat Intelligence und Incident Response. Mit jahrzehntelanger Erfahrung an vorderster Cyberfront hilft Mandiant Unternehmen dabei, sich selbstbewusst und proaktiv gegen Cyber-Bedrohungen zu verteidigen und auf Angriffe zu reagieren. Mandiant ist jetzt Teil von Google Cloud.


 

Passende Artikel zum Thema

Datensicherheit & Backup – mehr als ein Fallschirm für Unternehmen

Unternehmen benötigen eine Lösung für Backup, Disaster-Recovery, Archivierung und auch für ihre kalten Daten. Sechs Fragen, sechs Antworten von Hannes ➡ Weiterlesen

85 Milliarden Bedrohungen blockiert – ein Plus von 30 Prozent

Über 85 Milliarden Bedrohungen wurden im ersten Halbjahr 2023 durch Trend Micro blockiert – rund ein Drittel mehr als im ➡ Weiterlesen

ALPHV: Casinos und Hotels in Las Vegas per Hack lahmgelegt

MGM Resorts, ein US-amerikanischer Betreiber von Hotels und Spielcasinos, wurde vor kurzem von einem Ransomware-Angriff heimgesucht, der mehrere Systeme an ➡ Weiterlesen

Kaspersky wirkt bei INTERPOL Operation mit

Im Rahmen der Operation „Africa Cyber Surge II“ unterstützte Kaspersky INTERPOL mit der Bereitstellung von Threat-Intelligence-Daten. Dadurch konnten die Ermittler, ➡ Weiterlesen

Microsoft: 38 TByte Daten versehentlich offengelegt

Der Security Anbieter Wiz hat beim stöbern im KI-GitHub-Repository von Microsoft 38 TByte an Daten gefunden samt 30.000 internen Teams-Nachrichten. ➡ Weiterlesen

Daten vor Double Extortion Ransomware schützen

Double-Extortion-Angriffe nehmen zu: Bei der Attacke werden nicht nur die Daten verschlüsselt und ein Lösegeld erpresst, sondern auch noch Daten ➡ Weiterlesen

Mit generativer KI Schwachstellen schneller beheben

KI-gestützte Wiederherstellung hilft Security-Teams, Warnungen über Schwachstellen schneller zu verarbeiten und vereinfacht ihre Zusammenarbeit mit Entwicklungsteams. Aqua Security, der Pionier ➡ Weiterlesen

Ransomware: Noch erfolgreicher durch KI

Kriminelle nutzen mittlerweile KI, um ihre Ransomware-Angriffe noch effizienter zu machen. Betrachtet man die neuesten Entwicklungen, ist keine Entwarnung in ➡ Weiterlesen