Wie das BSI meldet, gab es vermehrt Angriffe mit der Ransomware Helldown auf Unternehmensnetzwerke über eine Schwachstelle in Zyxel Firewalls. Die Angreifer nutzen eine Double-Extortion-Taktik, indem sie die Datenträger verschlüsseln und gleichzeitig mit der Veröffentlichung zuvor gestohlener Informationen drohen. Erste Angriffe traten im August 2024 auf, eine größere Welle folgte im Oktober.
IT-Sicherheitsforschende identifizierten eine Schwachstelle in Zyxel Firewalls als möglichen Angriffsvektor. Zwar ist bislang unklar, um welche Sicherheitslücke es sich im Detail handelt oder ob vor dem Patch der Schwachstelle weitere Accounts angelegt wurden. Eine Analyse zeigt, dass sowohl die Firewall-Serien Zyxel USG Flex als auch Zyxel ATP betroffen sind.
Am 21. November veröffentlichte Zyxel ein Security Advisory und bestätigte die Berichte über die Helldown-Angriffe. Der Hersteller erklärte, dass die Schwachstelle in der neuesten Firmware-Version 5.39 (veröffentlicht am 3. September) nicht reproduzierbar sei. Kunden mit aktueller Firmware und geänderten Zugangsdaten seien demnach nicht länger gefährdet.
Trotz Patch weitere Kompromittierung
Allerdings meldeten einige betroffene Unternehmen auch nach der Aktualisierung weitere Angriffe. Untersuchungen ergaben, dass die reine Installation des Patches nicht ausreicht, um eine Kompromittierung nachhaltig zu verhindern. Angreifer könnten zuvor eingerichtete Accounts weiterhin nutzen, um Zugang zu den Netzwerken zu erhalten.
Handlungsempfehlungen des BSI
IT-Sicherheitsverantwortliche sollten umgehend zusätzliche Maßnahmen umsetzen:
- Passwörter ändern: Sämtliche Zugangsdaten, die für Zyxel-Firewalls genutzt werden, sollten aktualisiert werden.
- Accounts prüfen: Überprüfen Sie, ob unbekannte oder neue Benutzerkonten angelegt wurden.
- Herstellerhinweise beachten: Empfehlungen und Updates aus den offiziellen Veröffentlichungen von Zyxel sollten umgesetzt werden.
Weitere technische Details zu den Angriffen und dem Vorgehen der Täter finden sich in den Analysen von Sekoia und Truesec. IT-Teams müssen wachsam bleiben und geeignete Schutzmaßnahmen ergreifen, um Netzwerke vor weiteren Helldown-Infektionen zu schützen.
Mehr bei BSI.Bund.de
Über das Bundesamt für Sicherheit in der Informationstechnik (BSI) Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Cyber-Sicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland. Das Leitbild: Das BSI als die Cyber-Sicherheitsbehörde des Bundes gestaltet Informationssicherheit in der Digitalisierung durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft.