Kritische Veeam-Schwachstelle wird zur Verbreitung von Ransomware genutzt
Wenn Bedrohungsakteure versuchen, eine gepatchte Sicherheitslücke aktiv auszunutzen, bedeutet das, dass es trotz des Patches noch viele Systeme gibt, die nicht aktualisiert wurden. In diesem Fall geht es um die Veeam Backup & Replication-Software, die in vielen Unternehmen zur Datensicherung verwendet wird: Cyberkriminelle versuchen derzeit aktiv, über eine solche bereits geschlossene Sicherheitslücke die Ransomware Akira und Fog einzuschleusen.
Der Cybersecurity-Anbieter Sophos hat in den letzten Monaten mehrere Angriffe beobachtet, bei denen Angreifer kompromittierte VPN-Anmeldedaten sowie die Sicherheitslücke CVE-2024-40711 ausgenutzt haben, um ein lokales Konto zu erstellen und anschließend Ransomware zu installieren.
CVE-2024-40711 ist eine kritische Sicherheitslücke, die auf der CVSS-Skala mit 9,8 von 10,0 bewertet wird. Sie ermöglicht die Ausführung von Remotecode ohne Authentifizierung und wurde Anfang September 2024 von Veeam in Version 12.2 der Backup & Replication-Software behoben.
Die Sicherheitslücke wurde von Florian Hauser, einem Sicherheitsexperten des deutschen Unternehmens CODE WHITE, entdeckt und gemeldet.
Laut Sophos gelang es den Angreifern in jedem Fall, sich über kompromittierte VPN-Gateways Zugriff zu verschaffen, bei denen keine Multifaktor-Authentifizierung aktiviert war. Zudem liefen einige der betroffenen VPN-Systeme auf veralteten Software-Versionen.
Die Angreifer nutzten dann VEEAM aus, indem sie über den URI /trigger auf Port 8000 die Veeam.Backup.MountService.exe dazu brachten, den Befehl net.exe auszuführen. Dieser Vorgang erstellte ein lokales Konto mit dem Namen „point“ und fügte es den Gruppen „Administrators“ und „Remote Desktop Users“ hinzu.
Bei dem Angriff, der zur Installation der Ransomware Fog führte, sollen die Bedrohungsakteure die Ransomware auf einem ungeschützten Hyper-V-Server abgelegt haben. Dabei nutzten sie das Dienstprogramm rclone, um Daten zu stehlen. Die anderen Versuche, Ransomware einzusetzen, waren erfolglos.
Die aktive Ausnutzung der Sicherheitslücke CVE-2024-40711 veranlasste NHS England, eine Warnung herauszugeben. Darin wurde betont, dass „Unternehmensanwendungen für Backup und Disaster Recovery wertvolle Ziele für Cyber-Bedrohungsgruppen sind“.
Die Enthüllung erfolgt, nachdem Palo Alto Networks Unit 42 eine neue Ransomware namens Lynx beschrieben hat, die seit Juli 2024 aktiv ist. Lynx zielt auf Unternehmen in den USA und Großbritannien, insbesondere in den Bereichen Einzelhandel, Immobilien, Architektur, Finanzen und Umweltdienstleistungen.
Das Aufkommen von Lynx wurde vermutlich dadurch beschleunigt, dass der Quellcode der Vorgängerversion INC-Ransomware bereits im März 2024 auf dem Untergrundmarkt verkauft wurde. Dies veranlasste die Autoren der Malware, den ursprünglichen Code zu modifizieren und neue Varianten zu entwickeln.
Laut Unit 42 „teilt die Lynx-Ransomware einen Großteil ihres Quellcodes mit der INC-Ransomware.“ Die INC-Ransomware wurde erstmals im August 2023 entdeckt und hatte Versionen, die sowohl auf Windows- als auch auf Linux-Systemen funktionierten.
Der Bericht folgt auch einer Mitteilung des Health Sector Cybersecurity Coordination Center (HC3) des US-Gesundheitsministeriums, dass mindestens eine Gesundheitseinrichtung in den USA von der relativ neuen Trinity-Ransomware betroffen war. Diese Ransomware, die erstmals im Mai 2024 bekannt wurde, wird vermutlich als Neuauflage der 2023Lock- und Venus-Ransomware betrachtet.
„Trinity-Ransomware nutzt verschiedene Angriffsmethoden, um in Systeme einzudringen, darunter Phishing-E-Mails, bösartige Websites und das Ausnutzen von Software-Schwachstellen“, so das HC3. Einmal im System, setzt sie auf doppelte Erpressung, um Lösegeld von ihren Opfern zu fordern.
Zudem wurde eine MedusaLocker-Ransomware-Variante namens BabyLockerKZ beobachtet, die von einem finanziell motivierten Angreifer stammt, der seit Oktober 2022 aktiv ist. Dieser Angreifer richtet sich vor allem gegen Ziele in der EU und in Südamerika.
Talos-Forscher berichten, dass dieser Angreifer mehrere öffentlich bekannte Angriffswerkzeuge und LoLBins (living-off-the-land binaries) einsetzt. Diese Werkzeuge, die möglicherweise vom Angreifer selbst entwickelt wurden, dienen dazu, Anmeldeinformationen zu stehlen und sich seitlich in kompromittierten Netzwerken zu bewegen.
„Die Tools sind meist Wrapper für frei verfügbare Programme, die zusätzliche Funktionen bieten, um den Angriffsprozess zu erleichtern, indem sie entweder grafische oder Befehlszeilen-Schnittstellen bereitstellen“, so die Talos-Forscher.