Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

Ransomware: Sophos warnt vor Angriffen auf Veeam-Sicherheitslücke

Eine Sicherheitslücke in Veeam Backup & Replication steht aktiv unter Beschuss durch Cyberkriminelle. Sophos warnt, dass das Unternehmen eine Reihe an Attacken beobachtet habe, bei denen Ransomware installiert werden sollte.

Anzeige

Auf Mastodon erörtert das IT-Sicherheitsunternehmen, dass Cyberkriminelle mit kompromittierten Zugangsdaten und einer bekannten Sicherheitslücke (CVE-2024-40711) versuchen, ein Konto auf verwundbaren Systemen anzulegen und darin Ransomware zu installieren. In einem Fall hätten die Angreifer eine Ransomware namens Frog verankert. Im gleichen Zeitraum sei bei einer weiteren Attacke versucht worden, die Akira-Ransomware zu verteilen.

Sophos hat bis zur Meldung auf Mastodon vier Angriffe auf die Sicherheitslücke beobachtet – es dürften jedoch viele nicht erkannte Angriffe auf die Schwachstelle erfolgen. In den belegten Fällen sei die Akira- und Frog-Ransomware zum Einsatz gekommen.

Initialer Zugriff auf die betroffenen Netze gelangt demnach durch kompromittierte VPN-Gateways, die keine Mehr-Faktor-Authentifizierung aktiviert hatten. Einige Gateways hätten zudem nicht mehr unterstützte Software-Versionen eingesetzt. In allen vier Fällen haben die Angreifer die URI /trigger auf dem Port 8000 der Veeam-Instanz missbraucht. Das führt dazu, dass Veeam.Backup.MountService.exe den Befehl net.exe aufruft. Der Exploit erstellt damit das lokale Konto "point" und fügt es den Gruppen der lokalen Administratoren und Remote Desktop Users hinzu.

Die IT-Sicherheitsforscher von Sophos haben einen Angreifer beoabchtet, der die Frog-Ransomware in einen ungeschützten HyperV-Server installiert und dann das Werkzeug rclone zum Exfiltrieren von Daten missbraucht hat. In den anderen Fällen habe Sophos-Software das Verankern von Ransomware verhindert. Sophos leitet aus den Vorfällen ab, dass es wichtig ist, bekannte Sicherheitslücken abzudichten sowie nicht unterstützte (VPN-)Software zu aktualisieren oder zu ersetzen und Mehr-Faktor-Authentifizierung zu aktivieren, um Fernzugriffe zu kontrollieren.

Anzeige

Anfang September hatte Veeam die Schwachstelle CVE-2024-40711, mit einem CVSS-Wert von 9.8 als "kritisches" Sicherheitsrisiko eingestuft, mit aktualisierter Software ausgebessert. Die Lücke erlaubt Angreifern ohne Nutzerkonto aus der Ferne die Ausführung eigenen Codes (Remote Code Execution, RCE). Spätestens jetzt sollten IT-Verantwortliche die Tipps von Sophos befolgen und die Software aktualisieren sowie den Status der in der Organisation eingesetzten VPN-Software überprüfen.

Mehr von heise Security

Mehr von heise Security

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

(Ursprünglich geschrieben von Dirk Knop)
×
Stay Informed

When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.

Host Europe und LKA Niedersachsen warnen vor Phish...
Nach Cyberattacke: Datenleck beim Pokémon-Entwickl...
 

Kommentare

Derzeit gibt es keine Kommentare. Schreibe den ersten Kommentar!
Bereits registriert? Hier einloggen
Samstag, 14. Dezember 2024

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image