Schwachstelle in der Veeam-Backup-Software für Ransomware genutzt
Eine inzwischen gepatchte Sicherheitslücke in der Veeam Backup & Replication-Software wird von einer neuen Ransomware-Gruppe genutzt, die sich EstateRansomware nennt. Mit doppelter Erpressung wird versucht, die Opfer zu Zahlungen zu zwingen.
Das in Singapur ansässige Unternehmen Group-IB entdeckte Anfang April 2024 einen Bedrohungsakteur. Dieser nutzte die Sicherheitslücke CVE-2023-27532 (CVSS-Score: 7.5) für seine Angriffe aus. Den Türöffner für den ersten Zugriff auf das Zielsystem bildete ein inaktives Konto einer Fortinet FortiGate Firewall SSL VPN-Appliance. „Der Bedrohungsakteur nutzte den SSL-VPN-Dienst der FortiGate Firewall, um auf den Failover-Server zu gelangen“, erklärte der Sicherheitsexperte Yeo Zi Wei in einer aktuellen Analyse.
Bereits im April 2024 wurden VPN-Brute-Force-Angriffe über ein ruhendes Konto mit dem Namen „Acc1“ festgestellt. Einige Tage später konnte eine erfolgreiche VPN-Anmeldung mit ‚Acc1‘ zur IP-Adresse 149.28.106[.]252 zurückverfolgt werden. Als nächstes stellten die Angreifer RDP-Verbindungen von der Firewall zum Failover-Server her und installierten dann eine dauerhafte Hintertür namens „svchost.exe“, die täglich durch eine geplante Aufgabe ausgeführt wird. Um unentdeckt zu bleiben, erfolgte der weitere Zugang zum Netzwerk immer über diese Backdoor. Die Hauptaufgabe der Backdoor bestand darin, eine Verbindung zu einem Command-and-Control-Server (C2) über HTTP herzustellen und Befehle des Angreifers auszuführen.
Wie Group-IB bericht, nutzte der Angreifer die Veeam-Schwachstelle CVE-2023-27532 aus, um xp_cmdshell auf dem Backup-Server zu aktivieren und ein gefälschtes Benutzerkonto mit dem Namen „VeeamBkp“ zu erstellen. Über dieses Konto führte er Netzwerk-Erkundungen, Auflistungen und das Sammeln von Zugangsdaten mit Tools wie NetScan, AdFind und NitSoft durch. „Der Angriff könnte vom VeeamHax-Ordner auf dem Dateiserver gegen die anfällige Version der Veeam Backup & Replication-Software auf dem Backup-Server ausgegangen sein“, vermutet Zi Wei. „Dieses Vorgehen ermöglichte die Aktivierung der gespeicherten Prozedur xp_cmdshell und die anschließende Erstellung des ‚VeeamBkp‘-Kontos.“
Der Angriff gipfelte in der Bereitstellung der Ransomware. Zuvor wurden jedoch Maßnahmen ergriffen, um die Verteidigung zu schwächen und sich vom AD-Server auf alle anderen Server und Workstations mit kompromittierten Domänenkonten zu bewegen. „Windows Defender wurde dauerhaft mit DC.exe [Defender Control] deaktiviert, gefolgt von der Bereitstellung und Ausführung der Ransomware mit PsExec.exe„, so Group-IB.
Diese Enthüllung geht einher mit einer Erkenntnis von Cisco Talos: Die meisten Ransomware-Banden nutzen hauptsächlich Sicherheitslücken in öffentlich zugänglichen Anwendungen, Phishing-Anhänge oder gestohlene gültige Konten nutzen, um in Netzwerke einzudringen. Sie umgehen Verteidigungsmaßnahmen in ihrer Angriffskette, um länger unentdeckt im Netzwerk der Opfer zu bleiben.
Das Modell der doppelten Erpressung, bei dem Daten vor der Verschlüsselung gestohlen werden, hat dazu geführt, dass die Angreifer eigene Tools wie Exmatter, Exbyte und StealBit entwickelt haben. Diese Tools senden gestohlene Daten an vom Angreifer kontrollierte Server. Dadurch müssen diese kriminellen Gruppen langfristigen Zugang zu Netzwerken erhalten. Sie erkunden die Umgebung, verstehen die Netzwerkstruktur, finden Ressourcen, die den Angriff unterstützen, erhöhen ihre Privilegien oder tarnen sich, und identifizieren wertvolle Daten zum Diebstahl.
„Im vergangenen Jahr haben wir große Veränderungen im Ransomware-Bereich beobachtet, da mehrere neue Ransomware-Gruppen aufgetaucht sind. Diese Gruppen haben jeweils einzigartige Ziele, Betriebsstrukturen und Opferprofile“, so Talos. „Die Diversifizierung zeigt eine Verschiebung hin zu gezielteren cyberkriminellen Aktivitäten. Gruppen wie Hunters International, Cactus und Akira suchen sich spezifische Nischen und konzentrieren sich auf bestimmte operative Ziele und Stilmittel, um sich von anderen abzuheben.“