Categories: SicherheitVirus

Hacker verteilen Ransomware über Sicherheitslücke in Citrix-Servern

Forscher von FireEye und Under The Breach haben bestätigt, dass Hackergruppen die Zero-Day-Lücke in Citrix-Produkten inzwischen ausnutzen, um in Firmennetzwerke einzudringen und dort Ransomware zu installieren. Zwar liegen inzwischen für alle betroffenen Produkte des Unternehmens Sicherheitspatches vor – offenbar wurden sie aber noch nicht flächendeckend installiert.

Öffentlich bekannt ist die Zero-Day-Lücke mit der Kennung CVE-2019-19781 schon seit kurz vor Weihnachten. Waren die technischen Details anfänglich nur wenigen eingeweihten Sicherheitsforschern bekannt, sickerte Anfang des Jahres Beispielcode durch, der Hackern die Entwicklung von Schadsoftware erlaubte. Inzwischen wurde die Malware offenbar weiterentwickelt, sodass sich mit ihr Erpressersoftware einschleusen lässt.

Die ersten Patches für Citrix ADC und Citrix Gateway sind seit 19. Januar verfügbar. Die restlichen Updates folgten am 22., 23. und 24. Januar. Auch Citrix SD-WAN WANOP wurde inzwischen gepatcht. Bis dahin war lediglich eine Behelfslösung verfügbar, die in Einzelfällen keinen ausreichend Schutz vor Angriffen bieten soll.

Eine der Gruppen, die sich der Zero-Day-Lücke angenommen hat, ist den Forschern zufolge die Ransomware-Gang REvil. „Ich habe die Dateien der REvil-Bande untersucht, die von Gedia.com online gestellt wurden, nachdem das Unternehmen sich weigerte, die Lösegeldforderung zu bezahlen“, sagten Sicherheitsforscher von Under the Breach. „Das Interessante, was ich entdeckt habe, ist, dass sie Gedia offensichtlich über den Citrix-Exploit gehackt haben.“

FireEye beobachtete wiederum seit 16. Januar Attacken auf Citrix-Produkte, die ebenfalls das Ziel haben, eine Ransomware einzuschleusen. Allerdings soll es sich um die Erpressersoftware Ragnarok handeln. Deren Hintermänner fordern für die Freigabe verschlüsselter Dateien ein Bitcoin pro Rechner oder einen Pauschalbetrag von fünf Bitcoin für alle Rechner in einem Netzwerk – wobei ein Bitcoin derzeit rund 7800 Euro entspricht.

Allerdings scheint die Zahl der gepatchten Citrix-Geräte stetig zuzunehmen. War man im Dezember noch von rund 80.000 angreifbaren Geräten ausgegangen, soll sich die Zahl inzwischen auf rund 11.000 reduziert haben.

Citrix und FireEye bieten zudem ein gemeinsam entwickeltes Tool an, mit dem Besitzer von Citrix-Servern prüfen können, ob ihre Appliances bereits gehackt wurden. Das Tool sollte vor der Installation der Patches angewandt werden.

Under The Breach warnt zudem vor einer weiteren Bedrohung für Besitzer ungepatchter Citrix-Produkte. Cyberkriminelle versuchen ebenfalls, die Kontrolle über Citrix-Produkte zu erhalten, um die Zugänge in Hacker-Foren anzubieten.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

7 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

7 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

8 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

8 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

10 Stunden ago