Hacker verteilen Ransomware über Sicherheitslücke in Citrix-Servern

Forscher von FireEye und Under The Breach haben bestätigt, dass Hackergruppen die Zero-Day-Lücke in Citrix-Produkten inzwischen ausnutzen, um in Firmennetzwerke einzudringen und dort Ransomware zu installieren. Zwar liegen inzwischen für alle betroffenen Produkte des Unternehmens Sicherheitspatches vor – offenbar wurden sie aber noch nicht flächendeckend installiert.

Öffentlich bekannt ist die Zero-Day-Lücke mit der Kennung CVE-2019-19781 schon seit kurz vor Weihnachten. Waren die technischen Details anfänglich nur wenigen eingeweihten Sicherheitsforschern bekannt, sickerte Anfang des Jahres Beispielcode durch, der Hackern die Entwicklung von Schadsoftware erlaubte. Inzwischen wurde die Malware offenbar weiterentwickelt, sodass sich mit ihr Erpressersoftware einschleusen lässt.

Die ersten Patches für Citrix ADC und Citrix Gateway sind seit 19. Januar verfügbar. Die restlichen Updates folgten am 22., 23. und 24. Januar. Auch Citrix SD-WAN WANOP wurde inzwischen gepatcht. Bis dahin war lediglich eine Behelfslösung verfügbar, die in Einzelfällen keinen ausreichend Schutz vor Angriffen bieten soll.

Eine der Gruppen, die sich der Zero-Day-Lücke angenommen hat, ist den Forschern zufolge die Ransomware-Gang REvil. „Ich habe die Dateien der REvil-Bande untersucht, die von Gedia.com online gestellt wurden, nachdem das Unternehmen sich weigerte, die Lösegeldforderung zu bezahlen“, sagten Sicherheitsforscher von Under the Breach. „Das Interessante, was ich entdeckt habe, ist, dass sie Gedia offensichtlich über den Citrix-Exploit gehackt haben.“

FireEye beobachtete wiederum seit 16. Januar Attacken auf Citrix-Produkte, die ebenfalls das Ziel haben, eine Ransomware einzuschleusen. Allerdings soll es sich um die Erpressersoftware Ragnarok handeln. Deren Hintermänner fordern für die Freigabe verschlüsselter Dateien ein Bitcoin pro Rechner oder einen Pauschalbetrag von fünf Bitcoin für alle Rechner in einem Netzwerk – wobei ein Bitcoin derzeit rund 7800 Euro entspricht.

Allerdings scheint die Zahl der gepatchten Citrix-Geräte stetig zuzunehmen. War man im Dezember noch von rund 80.000 angreifbaren Geräten ausgegangen, soll sich die Zahl inzwischen auf rund 11.000 reduziert haben.

Citrix und FireEye bieten zudem ein gemeinsam entwickeltes Tool an, mit dem Besitzer von Citrix-Servern prüfen können, ob ihre Appliances bereits gehackt wurden. Das Tool sollte vor der Installation der Patches angewandt werden.

Under The Breach warnt zudem vor einer weiteren Bedrohung für Besitzer ungepatchter Citrix-Produkte. Cyberkriminelle versuchen ebenfalls, die Kontrolle über Citrix-Produkte zu erhalten, um die Zugänge in Hacker-Foren anzubieten.