In der sich ständig weiterentwickelnden Landschaft der Cybersicherheit hat eine neue Ransomware-Gruppe namens EstateRansomware für Aufsehen gesorgt. Diese Gruppe nutzt eine kürzlich gepatchte Sicherheitslücke in der Veeam Backup & Replication Software aus, was die Wichtigkeit regelmäßiger Software-Updates unterstreicht.
Die Entdeckung: Das in Singapur ansässige Unternehmen Group-IB entdeckte diese neue Bedrohung Anfang April 2024. Die Angreifer nutzten die Schwachstelle CVE-2023-27532 aus, die einen CVSS-Score von 7.5 aufweist – ein klares Zeichen für ein hohes Risiko.
Der Angriffsvektor:
- Initialer Zugriff: Über eine Fortinet FortiGate Firewall SSL VPN unter Verwendung eines inaktiven Kontos.
- Laterale Bewegung: Von der Firewall zum Failover-Server mittels RDP-Verbindungen.
- Persistenz: Installation einer Backdoor namens „svchost.exe“, die täglich über einen geplanten Task ausgeführt wird.
- Weitere Exploitation: Ausnutzung der Veeam-Schwachstelle zur Aktivierung von xp_cmdshell und Erstellung eines böswilligen Benutzerkontos.
- Netzwerkerkundung: Einsatz von Tools wie NetScan, AdFind und NitSoft.
- Finale Phase: Deaktivierung von Windows Defender und Ausführung der Ransomware auf allen erreichbaren Systemen.
Neue Ransomware-Gruppe EstateRansomware nutzt Veeam-Backup-Schwachstelle. Angriff über Fortinet-Firewall, gefolgt von Backdoor-Installation. Regelmäßige Updates und starke Sicherheitsstrategien sind entscheidend zum Schutz vor solchen Bedrohungen.
Breitere Implikationen: Diese Entdeckung fällt in eine Zeit, in der Cisco Talos eine Verschiebung in der Ransomware-Landschaft beobachtet. Neue Gruppen wie Hunters International, Cactus und Akira spezialisieren sich auf bestimmte Nischen und Angriffsmethoden.
Verbindung zur Akira Ransomware: Interessanterweise wurde die gleiche Veeam-Schwachstelle auch von der Akira Ransomware-Gruppe ausgenutzt, wie ein kürzlicher Angriff auf eine lateinamerikanische Fluggesellschaft zeigt. Dies verdeutlicht, wie schnell Schwachstellen von verschiedenen Bedrohungsakteuren aufgegriffen werden.
Empfehlungen zur Prävention:
- Regelmäßige Software-Updates durchführen
- Multifaktor-Authentifizierung implementieren
- Netzwerksegmentierung zur Eindämmung potenzieller Angriffe einsetzen
- Umfassende Backup-Strategien entwickeln
- Mitarbeiter in Cybersicherheit schulen
neonotu security steht an vorderster Front im Kampf gegen solche Bedrohungen. Unsere Experten bieten maßgeschneiderte Lösungen, um Ihre IT-Infrastruktur vor Ransomware und anderen Cybergefahren zu schützen.
Kontaktieren Sie uns noch heute für eine umfassende Sicherheitsberatung und lassen Sie uns gemeinsam Ihre digitalen Assets schützen.