Sophos hat unter dem Titel „Cring Ransomware Exploits Ancient ColdFusion Server“ eine besonders ausgefuchste Attacke aufgedeckt. Betreiber der Cring-Ransomware attackierten ihr Opfer, nachdem sie einen Server gehackt hatten, auf dem eine ungepatchte, 11 Jahre alte Version der Adobe-Coldsusion-Software lief. Das Opfer nutzte den Server, um Arbeitsblätter und Buchhaltungsdaten für die Gehaltsabrechnungen zu sammeln und eine Anzahl von virtuellen Maschinen zu hosten. Die Angreifer drangen innerhalb weniger Minuten in den internetfähigen Server ein und führten die Ransomware 79 Stunden später aus.
Kriminelle nutzten raffinierte Techniken
Die Sophos-Untersuchung ergab, dass die Angreifer als ersten Schritt die Webseite des Opfers mit automatisierten Tools scannten. Sobald sie herausfanden, dass eine ungepatchte Coldfusion-Version auf dem Server lief, konnten sie innerhalb weniger Minuten eindringen. Danach nutzen sie besonders ausgefeilte Techniken zur Vertuschung: Sie initiierten Codiercode in den Speicher und verwischten ihre Spuren mit überschreibenden Dateien mit fehlerhaften Daten oder gelöschten Logs und anderen Artefakten, die Threat-Hunter bei ihren Ermittlungen verwenden. Die Hacker waren zudem in der Lage, Security-Produkte zu deaktivieren, da die Manipulationsschutzfunktion ausgeschaltet war. Schließlich veröffentlichten sie eine Notiz, dass sie Daten exfiltriert haben, die sie veröffentlichen, wenn es nicht zu einem „good deal“ käme.
Andrew Brandt, Principal Researcher bei Sophos: „Geräte, die anfällige und veraltetet Software verwenden, sind genau die Einfallstore, nach denen Cyberkriminelle als einfachstem Weg zu ihrem Opfer suchen. Die Cring-Ransomware ist nicht neu, aber selten. In dem untersuchten Fall bestand das Angriffsziel in einem Service-Unternehmen, bei dem lediglich ein internetfähiger Server mit einer veralteten und ungepatchten Software Tür und Tor für die Attacke öffnete. Erstaunlich ist, dass dieser Server im täglichen Gebrauch war. Oft sind die verletzlichsten Geräte die inaktiven, die beim Upgrade oder Patchen entweder vergessen oder übersehen wurden. Aber ganz unabhängig vom Status – aktiv oder inaktiv – ungepatchte, internetfähige Server oder Geräte sind die primären Ziele für Cyberkriminelle, die nach angreifbaren Eintrittspunkten scannen. IT-Administrator:innen sollten deshalb über eine präzise Inventur aller verbundenen Geräte verfügen und alte, kritische Unternehmenssysteme nicht ins öffentliche Netz stellen. Wenn Organisationen derartige Geräte irgendwo in ihrem Netzwerk haben, können sie geradezu sicher sein, dass Cyberkriminelle von ihnen angezogen werden.“
Zum Schutz vor Cring und weiteren Ransomware-Ablegern empfehlen die Sophos-Experten untenstehende Tipps, die sich in der Prävention bewährt haben. Ausführlichere Anleitungen zu diesen Ratschlägen finden sich im Originalartikel „Cring Ransomware Exploits AncientColdFusion Server“ .
Auf der strategischen Ebene:
- Einsatz eines mehrschichtigen Schutzes
- Kombination von menschlicher Expertise und Anti-Ransomware-Technologie
Auf der täglichen/taktischen Ebene:
- Warnmeldungen kontrollieren und reagieren
- Starke Passwörter verwenden und einfordern
- Multi-Faktor-Authentifizierung (MFA) einsetzen
- Zugängliche Dienste sperren (besonders Ports, die gern von VNC, RDP oder Remote Tools genutzt werden)
- Segmentierung und Zero-Trust betreiben
- Offline Backups von Informationen und Anwendungen verwenden
- Inventur von Anlagen und Konten vornehmen
- Auf korrekt konfigurierte Sicherheitsprodukte achten
- Regelmäßig aktive Verzeichnisse prüfen
- Patchen. Alles.
#Sophos