Ransomware Helldown nutzt Schwachstellen in Zyxel Firewalls aus

B2B Cyber Security ShortNews

Beitrag teilen

Wie das BSI meldet, gab es vermehrt Angriffe mit der Ransomware Helldown auf Unternehmensnetzwerke über eine Schwachstelle in Zyxel Firewalls. Die Angreifer nutzen eine Double-Extortion-Taktik, indem sie die Datenträger verschlüsseln und gleichzeitig mit der Veröffentlichung zuvor gestohlener Informationen drohen. Erste Angriffe traten im August 2024 auf, eine größere Welle folgte im Oktober.

IT-Sicherheitsforschende identifizierten eine Schwachstelle in Zyxel Firewalls als möglichen Angriffsvektor. Zwar ist bislang unklar, um welche Sicherheitslücke es sich im Detail handelt oder ob vor dem Patch der Schwachstelle weitere Accounts angelegt wurden. Eine Analyse zeigt, dass sowohl die Firewall-Serien Zyxel USG Flex als auch Zyxel ATP betroffen sind.

Anzeige

Am 21. November veröffentlichte Zyxel ein Security Advisory und bestätigte die Berichte über die Helldown-Angriffe. Der Hersteller erklärte, dass die Schwachstelle in der neuesten Firmware-Version 5.39 (veröffentlicht am 3. September) nicht reproduzierbar sei. Kunden mit aktueller Firmware und geänderten Zugangsdaten seien demnach nicht länger gefährdet.

Trotz Patch weitere Kompromittierung

Allerdings meldeten einige betroffene Unternehmen auch nach der Aktualisierung weitere Angriffe. Untersuchungen ergaben, dass die reine Installation des Patches nicht ausreicht, um eine Kompromittierung nachhaltig zu verhindern. Angreifer könnten zuvor eingerichtete Accounts weiterhin nutzen, um Zugang zu den Netzwerken zu erhalten.

Handlungsempfehlungen des BSI

IT-Sicherheitsverantwortliche sollten umgehend zusätzliche Maßnahmen umsetzen:

  • Passwörter ändern: Sämtliche Zugangsdaten, die für Zyxel-Firewalls genutzt werden, sollten aktualisiert werden.
  • Accounts prüfen: Überprüfen Sie, ob unbekannte oder neue Benutzerkonten angelegt wurden.
  • Herstellerhinweise beachten: Empfehlungen und Updates aus den offiziellen Veröffentlichungen von Zyxel sollten umgesetzt werden.

Weitere technische Details zu den Angriffen und dem Vorgehen der Täter finden sich in den Analysen von Sekoia und Truesec. IT-Teams müssen wachsam bleiben und geeignete Schutzmaßnahmen ergreifen, um Netzwerke vor weiteren Helldown-Infektionen zu schützen.

Mehr bei BSI.Bund.de

 


Über das Bundesamt für Sicherheit in der Informationstechnik (BSI)

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist die Cyber-Sicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung in Deutschland. Das Leitbild: Das BSI als die Cyber-Sicherheitsbehörde des Bundes gestaltet Informationssicherheit in der Digitalisierung durch Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft.


 

Passende Artikel zum Thema

Hacker sehen KI als neuen Angriffsvektor

Eine neue Umfrage unter Hackern zeigt, dass KI nicht nur Hackern hilft, effizienter zu werden, sondern dass KI selbst „reif ➡ Weiterlesen

KI-gestützte Angriffe: Unternehmen sind ungeschützt

Eine aktuelle Studie hat ergeben, dass 40 Prozent der Unternehmen, die aktuell von KI-gestützten Angriffen betroffen sind, sich nicht ausreichend ➡ Weiterlesen

ePA – Elektronische Patientenakte mit Sicherheitslücken?

Am 15. Januar startete die Testphase der ePA - der elektronischen Patientenakte trotz vorliegender Berichte über mögliche Sicherheitslücken. Es ist ➡ Weiterlesen

FortiOS und FortiProxy: Angriffe auf Zero-Day-Schwachstelle

Das BSI hat bereits die zweithöchste Warnstufe Orange für die aktiv ausgenutzten Schwachstellen in FortiOS und FortiProxy ausgegeben. Die Zero-Day-Schwachstelle ➡ Weiterlesen

Sicherheitsrisiken durch Mitarbeiterverhalten

Eine neue Untersuchung zeigt, dass Unternehmen den Datenzugang von Arbeitnehmern nicht nur verwalten, sondern auch sichern müssen. Der Grund: Viele ➡ Weiterlesen

Amazon-S3-Datensätze einfach zurücksetzen

Mit der neuen Funktionalität Clumio Backtrack von Commvault können Unternehmen in Amazon Simple Storage Service (Amazon S3) gespeicherte Objekte oder ➡ Weiterlesen

BSI: Kritische 9.3 Schwachstelle in PaloAlto Networks Expedition

Das BSI warnt eindringlich vor einer kritischen Schwachstelle in Next-Generation-Firewall (NGFW)-Plattform PaloAlto Networks Expedition mit dem CVSS-Wert 9.3 von 10. ➡ Weiterlesen

Hochgefährliche Schwachstellen in Firefox und Thunderbird 

Mozilla hat am 7. Januar 2025 mehrere Sicherheitsupdates für Firefox und Thunderbird veröffentlicht, um Schwachstellen mit hoher Priorität zu beheben. ➡ Weiterlesen