Zwei namhafte Ransomware-Banden, die es auf Schwachstellen in Anwendungen abgesehen haben

Seit Beginn der Ransomware-Epidemie war Phishing die bevorzugte Angriffsmethode von Cyberkriminellen. Die E-Mail-Sicherheit und das Nutzerverhalten waren noch nicht so fortschrittlich wie heute, und die Nachlässigkeit, mit der Personen auf Links klickten, führte zu vielen Ransomware-Infektionen. Heutzutage, mit dem Aufkommen von maschinellem Lernen, KI-basierter E-Mail-Sicherheit wie Barracuda Email Protection und einer verbesserten User Awareness aufgrund von mehr Schulungen und einem besseren Bewusstsein für Sicherheitsfragen, ist der Phishing-Vektor für Ransomware-Kriminelle nicht mehr so effektiv wie früher.

Dies hat dazu geführt, dass Ransomware-Banden gezwungen sind, neue Angriffsvektoren zu finden. Infolgedessen betrachten sie inzwischen Webanwendungen, die im Allgemeinen nur unzureichend geschützt sind, als eines der vielversprechendsten Ziele für ihre betrügerischen Handlungen. Dies hat sich in den letzten Jahren in mehreren Fällen gezeigt, vor allem bei den ProxyShell-Schwachstellen im Jahr 2021.

Sehen wir uns zwei der Ransomware-Gruppen an, die aktuell Schwachstellen in Anwendungen als bevorzugten Angriffsvektor verwenden: BlackByte und CL0P.

Was Sie über BlackByte wissen sollten

Die Ransomware-Gruppe BlackByte war kürzlich in den Nachrichten, weil das Microsoft Incident Response Team einen Artikel veröffentlichte, in dem ein fünftägiges Zeitfenster beschrieben wurde, in dem diese Angreifer in eine Webanwendung eindrangen und daraufhin die Geräte der gesamten Umgebung durch Verschlüsselung blockierten.

BlackByte verschaffte sich zunächst Zugang zur Umgebung des Opfers, indem es die ProxyShell-Schwachstellen auf nicht aktualisierten Microsoft-Exchange-Servern ausnutzte. Diese Schwachstellen wurden erstmals im Jahr 2021 entdeckt und haben sich bei Angreifern, die in Unternehmensnetzwerke eindringen wollen, zu einem echten Favoriten entwickelt.

Anschließend nutzte die BlackByte-Gruppe die Schwachstelle aus, um Systemvorteile auf den kompromittierten Exchange-Servern zu erlangen. Die Exchange-Server waren also eindeutig nicht gepatcht worden, obwohl seit der Aufdeckung der Sicherheitslücke bereits einige Zeit vergangen war. Dann erweiterten die BlackByte-Angreifer ihre Zugriffsrechte, erstellten eine Web-Shell und nutzten diese Web-Shell, um per Fernsteuerung Kontrolle über die Exchange-Server zu erlangen. Der Artikel von Microsoft geht sehr detailliert darauf ein, wie die Persistenz erreicht wurde und wie die Daten verschlüsselt und extrahiert wurden, und ist sehr lesenswert.

Was hier jedoch am wichtigsten ist, ist der Erstzugriff. Der anfängliche Zugriff erfolgte über eine öffentlich zugängliche Webanwendung – Exchange Server. BlackByte wählte diesen Eingang, weil diese Webanwendungen häufig unzureichend geschützt sind. Angreifer sind nicht darauf angewiesen, dass ein Endbenutzer auf etwas klickt, bevor sie ihre nächsten Schritte ausführen können. Sie erhalten Zugriff, können Berechtigungen erweitern, eine Web-Shell einsetzen und den gesamten Prozess starten, ohne dass ein Endbenutzer auf jeglichen Link klickt. Dies macht Webanwendungen zu einem sehr wirksamen Angriffsvektor für Ransomware-Gruppen.

Was Sie über CL0P wissen sollten

Auch die Ransomware-Gruppe CL0P sorgt seit über einem Jahr für Schlagzeilen, weil sie Web-Schwachstellen ausnutzt. Während sie anfangs Phishing-E-Mails verschickten, um Ransomware zu verbreiten, sind sie inzwischen dazu übergegangen, Schwachstellen im Internet zu nutzen, um sich Zugang zu verschaffen. Seit 2021, als sie zum ersten Mal die Accelion File Transfer Appliance ins Visier nahmen, scheinen sie gezielt Zero-Day-Bedrohungen in ähnlicher Managed-File-Transfer-Software einzusetzen – mit namhafte Hacks von Nutzern von GoAnywhere MFT und in jüngster Zeit von MOVEit Software. Das macht Sinn – das Wichtigste für die Ransomware-Betreiber sind Daten, die extrahiert und zur Erpressung genutzt werden können.

Ransomware-Gruppen sind heutzutage sehr viel besser aufgestellt. Sie sind gut finanziert, verfügen über mehr Ressourcen und haben eine große Anzahl von „Mitarbeitern“. Vorbei sind die Zeiten, in denen man darauf warten musste, dass eine Zero-Day-Bedrohung veröffentlicht wird, bevor sie diesen nutzen. Im Fall der MOVEit-Schwachstelle wird vermutet, dass CL0P tagelang vom Zero-Day wusste, bevor er öffentlich bekanntgegeben wurde. Die Zahl der Organisationen, die durch jeden dieser Angriffe Datenverletzungen erlitten, ist ebenfalls ziemlich hoch. Derzeit ist die angegebene Zahl für die GoAnywhere-Schwachstelle 135 und für die MOVEit-Schwachstelle etwa 160.

So bleiben Sie Angreifern immer einen Schritt voraus

Webanwendungen bergen oft Zero-Day-Bedrohungen, die viele Jahre lang unbekannt bleiben, bis sie plötzlich in einem Schauspiel der Schande öffentlich werden. Der beste Weg, um den Überblick über diese Angriffe zu behalten und zu verhindern, dass Sie Opfer werden, besteht darin, Patches sofort anzuwenden. Viele Administratoren benötigen jedoch Zeit zum Patchen und benötigen Unterstützung, während sie ihre Systeme testen und Patches anwenden. Barracuda Application Protection bietet umfassenden Schutz für Webapplikationen und APIs, unabhängig davon, wo sie gehostet werden. Sie verhindert OWASP Top 10 Web- und API-Angriffe, Zero-Day-Angriffe, DDoS-Attacken, Bots und vieles mehr. Eine kostenlose Testversion erhalten Sie unter https://www.barracuda.com/products/application-protection/try-free.