Cyberkriminelle nutzen derzeit eine mehr als ein Jahr alte Sicherheitslücke in einer Fernwartungssoftware aus, um in Netzwerke einzudringen und die Ransomware GandCrab zu verbreiten. Da besagte Software von IT-Support-Firmen genutzt wird, richtet sich die aktuelle Kampagne vor allem gegen deren Kunden. In mindestens einem Fall sollen die Angreifer sogar erfolgreich gewesen sein, wie die Cybersicherheitsfirma Huntress Lab mitteilt.
Entdeckt wurde die Schwachstelle bereits im November 2017 vom Sicherheitsforscher Alex Wilson. Per SQL Injection ist es möglich, ein neues Administrator-Konto für die Kaseya-App anzulegen. Beispielcode für einen automatisierten Angriff liegt zudem auf GitHub vor. Zwar veröffentlichte Kaseya zeitnah einen Patch für die Lücke, es scheint allerdings, als hätten es einige Firmen versäumt, auch das Kaseya-Plug-in ihre ConnectWise Dashboards zu aktualisieren.
Die neue Angriffswelle startete Ende Januar 2019. Auf Reddit wird ein Vorfall beschrieben, bei dem Hacker in das Netzwerk eines Managed Service Providers einbrachen und anschließend GandCrab auf 80 Workstations von Kunden installierten. In dem Bericht wird auch ein nicht mehr verfügbarer und von daher auch nicht überprüfbarer Tweet erwähnt, in dem von weiteren Opfern und insgesamt 1500 infizierten Workstations die Rede ist.
Angriffe durch Cyberkriminelle schaden nicht nur dem Image des attackierten Unternehmens, sondern stellen in vielen Fällen auch eine finanzielle Belastung dar. Inzwischen erreicht die jährliche Schadenssumme mehrere Milliarden Euro. Erfahren Sie in diesem Webinar, wie Sie Ihr Unternehmen gegenüber Ransomware-Angriffen immunisieren.
ConnectWise nahm indes die Berichte zum Anlass, seine Kunden erneut vor der Sicherheitslücke zu warnen und auf die Verfügbarkeit des Patches hinzuweisen. Einer Kaseya-Managerin zufolge sollen mindestens 126 Firmen ein veraltetes Kaseya-Plug-in einsetzen und somit angreifbar sein. „Wir haben einen Support-Artikel in unserem Help Desk veröffentlicht und sofort begonnen, per E-Mail und Telefon diejenigen anzusprechen, die betroffen sein könnten“, sagte die Managerin im Gespräch mit MSSP Alert.
Huntress Lab rät Unternehmen, die das veraltete Plug-in weiterhin nutzen, ihren VSA-Server unverzüglich vom Internet zu trennen, bis sie sicher sein können, nicht bereits infiziert worden zu sein. „Während die Angriffe, die wir diese Woche gesehen haben, sofort Ransomware einsetzten, ist es durchaus möglich, dass andere Angreifer von dieser Schwachstelle gewusst haben und möglicherweise bereits in Ihrem System Fuß gefasst haben. Die Trennung des VSA-Servers verhindert zumindest, dass er Ransomware verbreitet, während Sie ermitteln.“
Darüber hinaus sei es erforderlich, auch andere kritische Infrastrukturen auf mögliche verdächtige Veränderungen zu prüfen. Anschließend müsse die ManagedITSync-Integration entfernt und durch die neueste Version ersetzt werden. Erst danach dürfe ein VSA-Server wieder mit dem Internet verbunden werden.
Ziel dieses Ratgebers ist es, SAP-Nutzern, die sich mit SAP S/4HANA auseinandersetzen, Denkanstöße zu liefern, wie sie Projektrisiken bei der Planung Ihres SAP S/4HANA-Projektes vermeiden können.
Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.
Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.
Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…