Notfall Button
Close

KONTAKT

Prinzregentenstraße 54
80538 München

T +49 89 4162 5900

Neue Ransomware-Bedrohung: EstateRansomware nutzt Schwachstelle in Veeam Backup-Software

neonotu-incident-response

Neue Ransomware-Bedrohung: EstateRansomware nutzt Schwachstelle in Veeam Backup-Software

In der sich ständig weiterentwickelnden Landschaft der Cybersicherheit hat eine neue Ransomware-Gruppe namens EstateRansomware für Aufsehen gesorgt. Diese Gruppe nutzt eine kürzlich gepatchte Sicherheitslücke in der Veeam Backup & Replication Software aus, was die Wichtigkeit regelmäßiger Software-Updates unterstreicht.

Die Entdeckung: Das in Singapur ansässige Unternehmen Group-IB entdeckte diese neue Bedrohung Anfang April 2024. Die Angreifer nutzten die Schwachstelle CVE-2023-27532 aus, die einen CVSS-Score von 7.5 aufweist – ein klares Zeichen für ein hohes Risiko.

Der Angriffsvektor:

  1. Initialer Zugriff: Über eine Fortinet FortiGate Firewall SSL VPN unter Verwendung eines inaktiven Kontos.
  2. Laterale Bewegung: Von der Firewall zum Failover-Server mittels RDP-Verbindungen.
  3. Persistenz: Installation einer Backdoor namens „svchost.exe“, die täglich über einen geplanten Task ausgeführt wird.
  4. Weitere Exploitation: Ausnutzung der Veeam-Schwachstelle zur Aktivierung von xp_cmdshell und Erstellung eines böswilligen Benutzerkontos.
  5. Netzwerkerkundung: Einsatz von Tools wie NetScan, AdFind und NitSoft.
  6. Finale Phase: Deaktivierung von Windows Defender und Ausführung der Ransomware auf allen erreichbaren Systemen.

Neue Ransomware-Gruppe EstateRansomware nutzt Veeam-Backup-Schwachstelle. Angriff über Fortinet-Firewall, gefolgt von Backdoor-Installation. Regelmäßige Updates und starke Sicherheitsstrategien sind entscheidend zum Schutz vor solchen Bedrohungen.

Breitere Implikationen: Diese Entdeckung fällt in eine Zeit, in der Cisco Talos eine Verschiebung in der Ransomware-Landschaft beobachtet. Neue Gruppen wie Hunters International, Cactus und Akira spezialisieren sich auf bestimmte Nischen und Angriffsmethoden.

Verbindung zur Akira Ransomware: Interessanterweise wurde die gleiche Veeam-Schwachstelle auch von der Akira Ransomware-Gruppe ausgenutzt, wie ein kürzlicher Angriff auf eine lateinamerikanische Fluggesellschaft zeigt. Dies verdeutlicht, wie schnell Schwachstellen von verschiedenen Bedrohungsakteuren aufgegriffen werden.

Empfehlungen zur Prävention:

  1. Regelmäßige Software-Updates durchführen
  2. Multifaktor-Authentifizierung implementieren
  3. Netzwerksegmentierung zur Eindämmung potenzieller Angriffe einsetzen
  4. Umfassende Backup-Strategien entwickeln
  5. Mitarbeiter in Cybersicherheit schulen

neonotu security steht an vorderster Front im Kampf gegen solche Bedrohungen. Unsere Experten bieten maßgeschneiderte Lösungen, um Ihre IT-Infrastruktur vor Ransomware und anderen Cybergefahren zu schützen.

Kontaktieren Sie uns noch heute für eine umfassende Sicherheitsberatung und lassen Sie uns gemeinsam Ihre digitalen Assets schützen.