ALPHV Ransomware zielt auf alte Veritas-Backup Schwachstellen

ALPHV Ransomware zielt auf alte Veritas-Backup Schwachstellen
Anzeige

Beitrag teilen

Ein Ransomware-Partner von ALPHV sucht laut Mandiant verstärkt nach alten Sicherheitslücken bei Veritas Backup-Installationen. Eigentlich sind die Lücken bereits seit 2021 bekannt – wohl aber viele nicht gepatcht. Es sollen sich aktuell über 8.500 Backup-Instanzen im Web finden lassen. 

Mandiant hat einen neuen ALPHV- Ransomware-Partner (alias BlackCat-Ransomware) beobachtet, der als UNC4466 verfolgt wird und auf öffentlich zugängliche Veritas Backup Exec-Installationen abzielt, die für die Schwachstellen CVE-2021-27876, CVE-2021-27877 und CVE-2021-27878 anfällig sind. Diese CVEs sind bereits seit März 2021 bekannt und es stehen auch Patches bereit. Allerdings haben einige Administratoren die Patches noch nicht umgesetzt.

Anzeige

8.500 Veritas Backup Exec-Instanzen im Netz

Ein kommerzieller Internet-Scan-Dienst hat über 8.500 Installationen von Veritas Backup Exec-Instanzen identifiziert, die derzeit via Internet erreichbar sind. Möglicherweise sind viele dieser Systeme noch nicht gepatcht und daher anfällig. Frühere von Mandiant untersuchte ALPHV-Angriffe setzten hauptsächlich auf gestohlene Zugangsdaten. Dieser Angriff könnte eine Verlagerung der Ziele sein indem man auf bekannte Schwachstellen setzt.

ALPHV entstand im November 2021 als Ransomware-as-a-Service, von dem einige Forscher behaupteten, es sei der Nachfolger von BLACKMATTER und DARKSIDE Ransomware. Während einige Ransomware-Betreiber Regeln erlassen haben, um Beeinträchtigungen kritischer Infrastrukturen und Gesundheitseinrichtungen zu vermeiden, hat ALPHV diese sensiblen Branchen weiterhin ins Visier genommen.

Anzeige

Zeitleiste in Sachen Veritas-Schwachstelle

  • Im März 2021 veröffentlichte Veritas eine Empfehlung, in der drei kritische Schwachstellen in Veritas Backup Exec 16.x, 20.x und 21.x gemeldet wurden.
  • Am 23. September 2022 wurde ein METASPLOIT-Modul veröffentlicht, das diese Schwachstellen ausnutzt und eine Sitzung erstellt, über die der Angreifer mit dem Opfersystem interagieren kann.
  • Am 22. Oktober 2022 beobachtete Mandiant erstmals die Ausnutzung der Veritas-Schwachstellen in freier Wildbahn.

Administratoren sollten unbedingt ihre Veritas Backup Exec-Instanzen überprüfen und die Lücken schließen. Denn immer häufiger kommt es vor, dass alte, ungepatchte Schwachstellen als Einfallstor für Ransomware & Co dienen. Der letzte große Angriff auf VMware ESXi-Server wurde auch durch eine alte Schwachstelle in nicht modernisierten bzw. gepatchten Versionen ausgenutzt.

Mandiant zeigt in seinem englischsprachigen Blog, wie technisch genau der Angriff auf die Schwachstellen in den Veritas Backup Exec-Installationen abläuft.

Mehr bei Mandiant.com

 


Über Mandiant

Mandiant ist ein anerkannter Marktführer für dynamische Cyberabwehr, Threat Intelligence und Incident Response. Mit jahrzehntelanger Erfahrung an vorderster Cyberfront hilft Mandiant Unternehmen dabei, sich selbstbewusst und proaktiv gegen Cyber-Bedrohungen zu verteidigen und auf Angriffe zu reagieren. Mandiant ist jetzt Teil von Google Cloud.


 

Passende Artikel zum Thema

Firefly schützt Maschinenidentitäten in Cloud-nativen Workloads

Venafi, der Erfinder und führende Anbieter von Maschinenidentitäts-Management, stellt Firefly vor. Die Lösung unterstützt hochgradig verteilte Cloud-native Umgebungen. Als Teil ➡ Weiterlesen

Attackierte Schwachstelle bei Samsung-Smartphones mit Android 12, 13

Eine der Schwachstellen, die das Mai-Update von Samsung schließt, wird sogar von der CISA  - Cybersecurity and Infrastructure Security Agency ➡ Weiterlesen

Neue Studie: Web-Shells sind Top-Einfallsvektor

Die Zahl von Angriffen über Web-Shells ist in den ersten drei Monaten 2023 überdurchschnittlich stark angestiegen. Das zeigt der Cisco ➡ Weiterlesen

QR-Code Phishing-Sicherheitstest-Tool

KnowBe4 bietet ab sofort ein ergänzendes QR-Code-Phishing-Sicherheitstest-Tool an, das Benutzer identifiziert, die Opfer von QR-Code-Phishing-Angriffen werden. Das kostenlose Tool (QR ➡ Weiterlesen

Ransomware-Report: LockBit zielt auf macOS

LockBit, die aktuell aktivste Ransomware-Gruppe, weitete seine Aktivitäten im April auf macOS-Geräte aus. Weiterhin werden Schwachstellen der Druckersoftware PaperCut aktiv ➡ Weiterlesen

China-Malware: Volt Typhoon zielt auf kritische USA Infrastruktur

Microsoft hat die Malware Volt Typhoon untersucht und festgestellt das diese von einem staatlich geförderten Akteur mit Sitz in China ➡ Weiterlesen

COSMICENERGY: OT-Malware soll Stromausfälle verursachen

Mandiant berichtet über eine neue spezialisierte Malware für Operational Technology (OT), die unter dem Namen COSMICENERGY beobachtet wird. Die Malware ➡ Weiterlesen

SOCs: Anstieg gefundener Cyberangriffe um das 1,5-fache

In seinem neuen Managed Detection and Response Analyst Report von Kaspersky gibt es einige wichtige Erkenntnisse: So stieg die Anzahl ➡ Weiterlesen