Forscher von FireEye und Under The Breach haben bestätigt, dass Hackergruppen die Zero-Day-Lücke in Citrix-Produkten inzwischen ausnutzen, um in Firmennetzwerke einzudringen und dort Ransomware zu installieren. Zwar liegen inzwischen für alle betroffenen Produkte des Unternehmens Sicherheitspatches vor – offenbar wurden sie aber noch nicht flächendeckend installiert.
Öffentlich bekannt ist die Zero-Day-Lücke mit der Kennung CVE-2019-19781 schon seit kurz vor Weihnachten. Waren die technischen Details anfänglich nur wenigen eingeweihten Sicherheitsforschern bekannt, sickerte Anfang des Jahres Beispielcode durch, der Hackern die Entwicklung von Schadsoftware erlaubte. Inzwischen wurde die Malware offenbar weiterentwickelt, sodass sich mit ihr Erpressersoftware einschleusen lässt.
Die ersten Patches für Citrix ADC und Citrix Gateway sind seit 19. Januar verfügbar. Die restlichen Updates folgten am 22., 23. und 24. Januar. Auch Citrix SD-WAN WANOP wurde inzwischen gepatcht. Bis dahin war lediglich eine Behelfslösung verfügbar, die in Einzelfällen keinen ausreichend Schutz vor Angriffen bieten soll.
Eine der Gruppen, die sich der Zero-Day-Lücke angenommen hat, ist den Forschern zufolge die Ransomware-Gang REvil. „Ich habe die Dateien der REvil-Bande untersucht, die von Gedia.com online gestellt wurden, nachdem das Unternehmen sich weigerte, die Lösegeldforderung zu bezahlen“, sagten Sicherheitsforscher von Under the Breach. „Das Interessante, was ich entdeckt habe, ist, dass sie Gedia offensichtlich über den Citrix-Exploit gehackt haben.“
FireEye beobachtete wiederum seit 16. Januar Attacken auf Citrix-Produkte, die ebenfalls das Ziel haben, eine Ransomware einzuschleusen. Allerdings soll es sich um die Erpressersoftware Ragnarok handeln. Deren Hintermänner fordern für die Freigabe verschlüsselter Dateien ein Bitcoin pro Rechner oder einen Pauschalbetrag von fünf Bitcoin für alle Rechner in einem Netzwerk – wobei ein Bitcoin derzeit rund 7800 Euro entspricht.
Allerdings scheint die Zahl der gepatchten Citrix-Geräte stetig zuzunehmen. War man im Dezember noch von rund 80.000 angreifbaren Geräten ausgegangen, soll sich die Zahl inzwischen auf rund 11.000 reduziert haben.
Citrix und FireEye bieten zudem ein gemeinsam entwickeltes Tool an, mit dem Besitzer von Citrix-Servern prüfen können, ob ihre Appliances bereits gehackt wurden. Das Tool sollte vor der Installation der Patches angewandt werden.
Under The Breach warnt zudem vor einer weiteren Bedrohung für Besitzer ungepatchter Citrix-Produkte. Cyberkriminelle versuchen ebenfalls, die Kontrolle über Citrix-Produkte zu erhalten, um die Zugänge in Hacker-Foren anzubieten.
Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud
In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Neueste Kommentare
Noch keine Kommentare zu Hacker verteilen Ransomware über Sicherheitslücke in Citrix-Servern
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.