Ransomware scannt nach alter Software für Attacke 

Sophos News

Beitrag teilen

Vergessene, ungepatchte und veraltete Software bietet ein ideales Einstiegstor für Cyberkriminelle. So auch im aktuellen Fall einer Ransomware-Attacke, die eine 11 Jahre alte Software Adobe ColdFusion auf einem Server für sich ausnutzte.

Sophos hat unter dem Titel „Cring Ransomware Exploits Ancient ColdFusion Server“ eine besonders ausgefuchste Attacke aufgedeckt. Betreiber der Cring Ransomware attackierten ihr Opfer, nachdem sie einen Server gehackt hatten, auf dem eine ungepatchte, 11 Jahre alte Version der Adobe ColdFusion Software lief. Das Opfer nutzte den Server, um Arbeitsblätter und Buchhaltungsdaten für die Gehaltsabrechnungen zu sammeln und eine Anzahl von virtuellen Maschinen zu hosten. Die Angreifer drangen innerhalb weniger Minuten in den internetfähigen Server ein und führten die Ransomware 79 Stunden später aus.

Kriminelle nutzten raffinierte Techniken

Die Sophos-Untersuchung ergab, dass die Angreifer als ersten Schritt die Webseite des Opfers mit automatisierten Tools scannten. Sobald sie herausfanden, dass eine ungepatchte ColdFusion-Version auf dem Server lief, konnten sie innerhalb weniger Minuten eindringen. Danach nutzen sie besonders ausgefeilte Techniken zur Vertuschung: Sie initiierten Codiercode in den Speicher und verwischten ihre Spuren mit überschreibenden Dateien mit fehlerhaften Daten oder gelöschten Logs und anderen Artefakten, die Threat Hunter bei ihren Ermittlungen verwenden. Die Hacker waren zudem in der Lage, Security-Produkte zu deaktivieren, da die Manipulationsschutzfunktion ausgeschaltet war. Schließlich veröffentlichten sie eine Notiz, dass sie Daten exfiltriert haben, die sie veröffentlichen, wenn es nicht zu einem „good deal“ käme.

Alte Software ist gefährliches Einfallstor

„Geräte, die anfällige und veraltetet Software verwenden, sind genau die Einfallstore, nach denen Cyberkriminelle als einfachstem Weg zu ihrem Opfer suchen. Die Cring Ransomware ist nicht neu, aber selten. In dem untersuchten Fall bestand das Angriffsziel in einem Service-Unternehmen, bei dem lediglich ein internetfähiger Server mit einer veralteten und ungepatchten Software Tür und Tor für die Attacke öffnete. Erstaunlich ist, dass dieser Server im täglichen Gebrauch war. Oft sind die verletzlichsten Geräte die inaktiven, die beim Upgrade oder Patchen entweder vergessen oder übersehen wurden. Aber ganz unabhängig vom Status – aktiv oder inaktiv – ungepatchte, internetfähige Server oder Geräte sind die primären Ziele für Cyberkriminelle, die nach angreifbaren Eintrittspunkten scannen. IT-Administrator sollten deshalb über eine präzise Inventur aller verbundenen Geräte verfügen und alte, kritische Unternehmenssysteme nicht ins öffentliche Netz stellen. Wenn Organisationen derartige Geräte irgendwo in ihrem Netzwerk haben, können sie geradezu sicher sein, dass Cyberkriminelle von ihnen angezogen werden.“ So Andrew Brandt, Principal Researcher bei Sophos.

Mehr bei Sophos.com

 


Über Sophos

Mehr als 100 Millionen Anwender in 150 Ländern vertrauen auf Sophos. Wir bieten den besten Schutz vor komplexen IT-Bedrohungen und Datenverlusten. Unsere umfassenden Sicherheitslösungen sind einfach bereitzustellen, zu bedienen und zu verwalten. Dabei bieten sie die branchenweit niedrigste Total Cost of Ownership. Das Angebot von Sophos umfasst preisgekrönte Verschlüsselungslösungen, Sicherheitslösungen für Endpoints, Netzwerke, mobile Geräte, E-Mails und Web. Dazu kommt Unterstützung aus den SophosLabs, unserem weltweiten Netzwerk eigener Analysezentren. Die Sophos Hauptsitze sind in Boston, USA, und Oxford, UK.


 

Passende Artikel zum Thema

Bösartiges Site Hopping

In letzter Zeit wird vermehrt eine neue Technik zur Umgehung von Sicherheitsscannern eingesetzt, nämlich das „Site Hopping“. Diese Technik ist ➡ Weiterlesen

Finanzsektor zahlt bei Ransomware-Attacken Rekordsummen

Stetig wächst die Zahl der jährlichen Ransomware-Attacken auf Unternehmen des Finanzsektors: waren es in 2021 noch 34 Prozent, stieg die ➡ Weiterlesen

Neue Ransomware-Gruppe Money Message entdeckt

Bereits im April dieses Jahres wurde eine neue Ransomware-Gruppe namens „Money Message“ aktiv. Während die Cyberkriminellen bislang unter dem Radar ➡ Weiterlesen

Wardriving mit künstlicher Intelligenz

Mittlerweile werden KI-Tools millionenfach eingesetzt, um Themen zu recherchieren, Briefe zu schreiben und Bilder zu erstellen. Doch auch im Bereich ➡ Weiterlesen

Analyse: So läuft ein Angriff der Akira Ransomware-Gruppe ab

Die Südwestfalen-IT wurde von der Hackergruppe „Akira“ angegriffen, was dazu führt, dass zahlreiche Kommunalverwaltungen seit Wochen nur eingeschränkt arbeiten können. ➡ Weiterlesen

LockBit veröffentlich 43 GByte gestohlene Boeing-Daten

Bereits im Oktober vermeldete die APT-Gruppe LockBit, dass man bei Boeing in die Systeme eingedrungen sei und viele Daten gestohlen ➡ Weiterlesen

CSaaS: Studie zu Cyber Security as a Service 

Unternehmen stärken sich zunehmend mit externer Expertise. So zeigt die aktuelle Studie, dass 46 Prozent der Unternehmen bereits auf Cyber ➡ Weiterlesen

Veeam ONE: Hotfix für kritische Schwachstellen steht bereit 

Veeam informiert seine Nutzer über zwei kritische und zwei mittlere Schwachstellen in Veeam One für die bereits Patches bereitstehen. Die ➡ Weiterlesen