Vergessene, ungepatchte und veraltete Software bietet ein ideales Einstiegstor für Cyberkriminelle. So auch im aktuellen Fall einer Ransomware-Attacke, die eine 11 Jahre alte Software Adobe ColdFusion auf einem Server für sich ausnutzte.
Sophos hat unter dem Titel „Cring Ransomware Exploits Ancient ColdFusion Server“ eine besonders ausgefuchste Attacke aufgedeckt. Betreiber der Cring Ransomware attackierten ihr Opfer, nachdem sie einen Server gehackt hatten, auf dem eine ungepatchte, 11 Jahre alte Version der Adobe ColdFusion Software lief. Das Opfer nutzte den Server, um Arbeitsblätter und Buchhaltungsdaten für die Gehaltsabrechnungen zu sammeln und eine Anzahl von virtuellen Maschinen zu hosten. Die Angreifer drangen innerhalb weniger Minuten in den internetfähigen Server ein und führten die Ransomware 79 Stunden später aus.
Kriminelle nutzten raffinierte Techniken
Die Sophos-Untersuchung ergab, dass die Angreifer als ersten Schritt die Webseite des Opfers mit automatisierten Tools scannten. Sobald sie herausfanden, dass eine ungepatchte ColdFusion-Version auf dem Server lief, konnten sie innerhalb weniger Minuten eindringen. Danach nutzen sie besonders ausgefeilte Techniken zur Vertuschung: Sie initiierten Codiercode in den Speicher und verwischten ihre Spuren mit überschreibenden Dateien mit fehlerhaften Daten oder gelöschten Logs und anderen Artefakten, die Threat Hunter bei ihren Ermittlungen verwenden. Die Hacker waren zudem in der Lage, Security-Produkte zu deaktivieren, da die Manipulationsschutzfunktion ausgeschaltet war. Schließlich veröffentlichten sie eine Notiz, dass sie Daten exfiltriert haben, die sie veröffentlichen, wenn es nicht zu einem „good deal“ käme.
Alte Software ist gefährliches Einfallstor
„Geräte, die anfällige und veraltetet Software verwenden, sind genau die Einfallstore, nach denen Cyberkriminelle als einfachstem Weg zu ihrem Opfer suchen. Die Cring Ransomware ist nicht neu, aber selten. In dem untersuchten Fall bestand das Angriffsziel in einem Service-Unternehmen, bei dem lediglich ein internetfähiger Server mit einer veralteten und ungepatchten Software Tür und Tor für die Attacke öffnete. Erstaunlich ist, dass dieser Server im täglichen Gebrauch war. Oft sind die verletzlichsten Geräte die inaktiven, die beim Upgrade oder Patchen entweder vergessen oder übersehen wurden. Aber ganz unabhängig vom Status – aktiv oder inaktiv – ungepatchte, internetfähige Server oder Geräte sind die primären Ziele für Cyberkriminelle, die nach angreifbaren Eintrittspunkten scannen. IT-Administrator sollten deshalb über eine präzise Inventur aller verbundenen Geräte verfügen und alte, kritische Unternehmenssysteme nicht ins öffentliche Netz stellen. Wenn Organisationen derartige Geräte irgendwo in ihrem Netzwerk haben, können sie geradezu sicher sein, dass Cyberkriminelle von ihnen angezogen werden.“ So Andrew Brandt, Principal Researcher bei Sophos.
Mehr bei Sophos.com
Über Sophos Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.