GandCrab-Ransomware: Neue Kampagne nimmt Kunden von IT-Support-Firmen ins Visier

Cyberkriminelle nutzen derzeit eine mehr als ein Jahr alte Sicherheitslücke in einer Fernwartungssoftware aus, um in Netzwerke einzudringen und die Ransomware GandCrab zu verbreiten. Da besagte Software von IT-Support-Firmen genutzt wird, richtet sich die aktuelle Kampagne vor allem gegen deren Kunden. In mindestens einem Fall sollen die Angreifer sogar erfolgreich gewesen sein, wie die Cybersicherheitsfirma Huntress Lab mitteilt.

Die Anfälligkeit steckt demnach im Kaseya-Plug-in für die Software ConnectWise Manage. Das Plug-in erlaubt es, Daten von der Fernwartungslösung Kaseya VSA mit einem ConnectWise Dashboard zu verknüpfen. Vor allem kleine IT-Firmen und Managed Service Providers verwenden die beiden Anwendungen, um Workstations ihrer Kunden aus der Ferne zu verwalten.

Entdeckt wurde die Schwachstelle bereits im November 2017 vom Sicherheitsforscher Alex Wilson. Per SQL Injection ist es möglich, ein neues Administrator-Konto für die Kaseya-App anzulegen. Beispielcode für einen automatisierten Angriff liegt zudem auf GitHub vor. Zwar veröffentlichte Kaseya zeitnah einen Patch für die Lücke, es scheint allerdings, als hätten es einige Firmen versäumt, auch das Kaseya-Plug-in ihre ConnectWise Dashboards zu aktualisieren.

Die neue Angriffswelle startete Ende Januar 2019. Auf Reddit wird ein Vorfall beschrieben, bei dem Hacker in das Netzwerk eines Managed Service Providers einbrachen und anschließend GandCrab auf 80 Workstations von Kunden installierten. In dem Bericht wird auch ein nicht mehr verfügbarer und von daher auch nicht überprüfbarer Tweet erwähnt, in dem von weiteren Opfern und insgesamt 1500 infizierten Workstations die Rede ist.

ConnectWise nahm indes die Berichte zum Anlass, seine Kunden erneut vor der Sicherheitslücke zu warnen und auf die Verfügbarkeit des Patches hinzuweisen. Einer Kaseya-Managerin zufolge sollen mindestens 126 Firmen ein veraltetes Kaseya-Plug-in einsetzen und somit angreifbar sein. „Wir haben einen Support-Artikel in unserem Help Desk veröffentlicht und sofort begonnen, per E-Mail und Telefon diejenigen anzusprechen, die betroffen sein könnten“, sagte die Managerin im Gespräch mit MSSP Alert.

Huntress Lab rät Unternehmen, die das veraltete Plug-in weiterhin nutzen, ihren VSA-Server unverzüglich vom Internet zu trennen, bis sie sicher sein können, nicht bereits infiziert worden zu sein. „Während die Angriffe, die wir diese Woche gesehen haben, sofort Ransomware einsetzten, ist es durchaus möglich, dass andere Angreifer von dieser Schwachstelle gewusst haben und möglicherweise bereits in Ihrem System Fuß gefasst haben. Die Trennung des VSA-Servers verhindert zumindest, dass er Ransomware verbreitet, während Sie ermitteln.“

Darüber hinaus sei es erforderlich, auch andere kritische Infrastrukturen auf mögliche verdächtige Veränderungen zu prüfen. Anschließend müsse die ManagedITSync-Integration entfernt und durch die neueste Version ersetzt werden. Erst danach dürfe ein VSA-Server wieder mit dem Internet verbunden werden.