Moderne Ransomware nutzt uralte Version von Adobe ColdFusion

(PresseBox) ( Wiesbaden, )
Vergessene, ungepatchte und veraltete Software bietet ein ideales Einstiegstor für Cyberkriminelle. So auch im aktuellen Fall einer Ransomware-Attacke, die eine 11 Jahre alte Software auf einem Server für sich ausnutzte.

Sophos hat unter dem Titel „Cring Ransomware Exploits Ancient ColdFusion Server“ eine besonders ausgefuchste Attacke aufgedeckt. Betreiber:innen der Cring Ransomware attackierten ihr Opfer, nachdem sie einen Server gehackt hatten, auf dem eine ungepatchte, 11 Jahre alte Version der Adobe ColdFusion Software lief. Das Opfer nutzte den Server, um Arbeitsblätter und Buchhaltungsdaten für die Gehaltsabrechnungen zu sammeln und eine Anzahl von virtuellen Maschinen zu hosten. Die Angreifer drangen innerhalb weniger Minuten in den internetfähigen Server ein und führten die Ransomware 79 Stunden später aus.

Kriminelle nutzten raffinierte Techniken

Die Sophos-Untersuchung ergab, dass die Angreifer:innen als ersten Schritt die Webseite des Opfers mit automatisierten Tools scannten. Sobald sie herausfanden, dass eine ungepatchte ColdFusion-Version auf dem Server lief, konnten sie innerhalb weniger Minuten eindringen. Danach nutzen sie besonders ausgefeilte Techniken zur Vertuschung: Sie initiierten Codiercode in den Speicher und verwischten ihre Spuren mit überschreibenden Dateien mit fehlerhaften Daten oder gelöschten Logs und anderen Artefakten, die Threat Hunter bei ihren Ermittlungen verwenden. Die Hacker:innen waren zudem in der Lage, Security-Produkte zu deaktivieren, da die Manipulationsschutzfunktion ausgeschaltet war. Schließlich veröffentlichten sie eine Notiz, dass sie Daten exfiltriert haben, die sie veröffentlichen, wenn es nicht zu einem „good deal“ käme.

Andrew Brandt, Principal Researcher bei Sophos:

„Geräte, die anfällige und veraltetet Software verwenden, sind genau die Einfallstore, nach denen Cyberkriminelle als einfachstem Weg zu ihrem Opfer suchen. Die Cring Ransomware ist nicht neu, aber selten. In dem untersuchten Fall bestand das Angriffsziel in einem Service-Unternehmen, bei dem lediglich ein internetfähiger Server mit einer veralteten und ungepatchten Software Tür und Tor für die Attacke öffnete. Erstaunlich ist, dass dieser Server im täglichen Gebrauch war. Oft sind die verletzlichsten Geräte die inaktiven, die beim Upgrade oder Patchen entweder vergessen oder übersehen wurden. Aber ganz unabhängig vom Status – aktiv oder inaktiv – ungepatchte, internetfähige Server oder Geräte sind die primären Ziele für Cyberkriminelle, die nach angreifbaren Eintrittspunkten scannen. IT-Administrator:innen sollten deshalb über eine präzise Inventur aller verbundenen Geräte verfügen und alte, kritische Unternehmenssysteme nicht ins öffentliche Netz stellen. Wenn Organisationen derartige Geräte irgendwo in ihrem Netzwerk haben, können sie geradezu sicher sein, dass Cyberkriminelle von ihnen angezogen werden.“

Zum Schutz vor Cring und weiteren Ransomware-Ablegern empfehlen die Sophos-Experten untenstehende Tipps, die sich in der Prävention bewährt haben. Ausführlichere Anleitungen zu diesen Ratschlägen finden sich im Originalartikel „Cring Ransomware Exploits AncientColdFusion Server“ .

Auf der strategischen Ebene:
  • Einsatz eines mehrschichtigen Schutzes
  • Kombination von menschlicher Expertise und Anti-Ransomware-Technologie
Auf der täglichen/taktischen Ebene:
  • Warnmeldungen kontrollieren und reagieren
  • Starke Passwörter verwenden und einfordern
  • Multi-Faktor-Authentifizierung (MFA) einsetzen
  • Zugängliche Dienste sperren (besonders Ports, die gern von VNC, RDP oder Remote Tools genutzt werden)
  • Segmentierung und Zero-Trust betreiben
  • Offline Backups von Informationen und Anwendungen verwenden
  • Inventur von Anlagen und Konten vornehmen
  • Auf korrekt konfigurierte Sicherheitsprodukte achten
  • Regelmäßig aktive Verzeichnisse prüfen
  • Patchen. Alles.
LinkedIn:         https://www.linkedin.com/groups/9054356/

Twitter:            @sophos_info
The publisher indicated in each case is solely responsible for the press releases above, the event or job offer displayed, and the image and sound material used (see company info when clicking on image/message title or company info right column). As a rule, the publisher is also the author of the press releases and the attached image, sound and information material.
The use of information published here for personal information and editorial processing is generally free of charge. Please clarify any copyright issues with the stated publisher before further use. In the event of publication, please send a specimen copy to service@pressebox.de.