Forscher von FireEye und Under The Breach haben bestätigt, dass Hackergruppen die Zero-Day-Lücke in Citrix-Produkten inzwischen ausnutzen, um in Firmennetzwerke einzudringen und dort Ransomware zu installieren. Zwar liegen inzwischen für alle betroffenen Produkte des Unternehmens Sicherheitspatches vor – offenbar wurden sie aber noch nicht flächendeckend installiert.
Die ersten Patches für Citrix ADC und Citrix Gateway sind seit 19. Januar verfügbar. Die restlichen Updates folgten am 22., 23. und 24. Januar. Auch Citrix SD-WAN WANOP wurde inzwischen gepatcht. Bis dahin war lediglich eine Behelfslösung verfügbar, die in Einzelfällen keinen ausreichend Schutz vor Angriffen bieten soll.
Eine der Gruppen, die sich der Zero-Day-Lücke angenommen hat, ist den Forschern zufolge die Ransomware-Gang REvil. „Ich habe die Dateien der REvil-Bande untersucht, die von Gedia.com online gestellt wurden, nachdem das Unternehmen sich weigerte, die Lösegeldforderung zu bezahlen“, sagten Sicherheitsforscher von Under the Breach. „Das Interessante, was ich entdeckt habe, ist, dass sie Gedia offensichtlich über den Citrix-Exploit gehackt haben.“
FireEye beobachtete wiederum seit 16. Januar Attacken auf Citrix-Produkte, die ebenfalls das Ziel haben, eine Ransomware einzuschleusen. Allerdings soll es sich um die Erpressersoftware Ragnarok handeln. Deren Hintermänner fordern für die Freigabe verschlüsselter Dateien ein Bitcoin pro Rechner oder einen Pauschalbetrag von fünf Bitcoin für alle Rechner in einem Netzwerk – wobei ein Bitcoin derzeit rund 7800 Euro entspricht.
Allerdings scheint die Zahl der gepatchten Citrix-Geräte stetig zuzunehmen. War man im Dezember noch von rund 80.000 angreifbaren Geräten ausgegangen, soll sich die Zahl inzwischen auf rund 11.000 reduziert haben.
Citrix und FireEye bieten zudem ein gemeinsam entwickeltes Tool an, mit dem Besitzer von Citrix-Servern prüfen können, ob ihre Appliances bereits gehackt wurden. Das Tool sollte vor der Installation der Patches angewandt werden.
Under The Breach warnt zudem vor einer weiteren Bedrohung für Besitzer ungepatchter Citrix-Produkte. Cyberkriminelle versuchen ebenfalls, die Kontrolle über Citrix-Produkte zu erhalten, um die Zugänge in Hacker-Foren anzubieten.
In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.
Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.
Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…
Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…
Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…
Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…
Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…