Ransomware-Erpressungen durch Sicherheitsmangel bei VPN-Gateway Citrix

Bereits Anfang 2020 wurde bei Citrix eine enorme Sicherheitslücke entdeckt. Jetzt tauchen erste Folgen auf, die User des VPN-Gateways wie etwa Supermärkte, Ministerien, Ämter etc. betrifft. Sie alle könnten durch die Malware in ihren Systemen Opfer von Erpressungsattacken werden. Aktuellstes Opfer ist die Uniklinik Düsseldorf. Hier hatte der Angriff nicht nur finanzielle Folgen, sondern forderte aufgrund einer Behandlungsverzögerung auch ein Todesopfer.

“Shitrix” bereits Anfang 2020 entdeckt

Der Name sagt alles: Anfang dieses Jahres sorgte „Shitrix“ (eine Schwachstelle in den Einwahlsystemen von Citrix, die für die Installation von Backdoors genutzt wurde) für Ärger.
HiSolutions (deutsche Sicherheitsberater) sind nun einigen Verschlüsselungsangriffen auf die Spur gekommen, die aufgrund dieser Backdoors möglich wurden. Selbst das damals (allerdings sehr spät) angebotene Software-Update ist gegen bereits vorhandene Hintertüren machtlos. Es ist nicht klar, wie viele derartige Fälle es gilt. Aber sicher nicht wenige, denn schon im Jänner wiesen zahlreiche untersuchte Citrix-Gateways Malware verschiedener Art auf.

Updates helfen nicht gegen bereits installierte Hintertüren

Diese „VPN-Gateways“ wurden fast alle viel zu spät durch Software-Updates gesichert, gegen davor installierte Hintertüren hilft das aber nicht. Nur völlig neu aufgesetzte Systeme gelten als gesichert. Beim aktuellen Erpressungsangriff auf das Klinikum Düsseldorf, der einen Todesfall zur Folge hatte, waren die Angreifer über den Citrix-Gateway eingedrungen. (Mehr dazu weiter unten). Es ist davon auszugehen, dass auch hierzulande eine unbekannte Zahl an Hintertüren in den hunderten Citrix-Gateways großer Netze existieren.

Vorgehensweise der Angreifer plump

Bei den Erpressern handelt es sich um keine genialen Masterminds. Sie haben laut HiSolutions einfachste Vorgehensweisen und Standard-Malware verwendet, um die Daten in den attackierten Systemen zu verschlüsseln. Citrix-User sind davor nicht gefeit. Momemtan können es zu zahlreichen derartigen Attacken kommen. HiSolutions empfiehlt deswegen, „Citrix NetScaler Systeme insbesondere auf mögliche neue Benutzer oder auffällige Netzwerkaktivitäten zu überprüfen“. Außerdem sollen Betroffene einen Blick in den Ordner /var/vpn/bookmark werfen, „da hier vom Angreifer eingeschleusten XML-Dateien zu finden sind.“

Backdoor-Macher nicht gleich Erpresser

Jene Cyberkriminelle die Anfang des Jahres die Backdoors installiert haben, sind eher nicht dieselben, welche nun die Unternehmen erpressen. Dieser Meinung ist zumindest Sicherheitsexperte Joe Pichlmayr im ORF-Interview. Denn derartige Backdoors sind gern gehandelte Ware im Darknet, generell spielt es sich am Schwarzmarkt in Sachen Malware-Kauf etc. richtig ab. Für Geld kann man hier alles kaufen, was es für Cyberattacken braucht. Deshalb sind die Citrix-Hintertüren auch ein sehr großes Risiko für massive(re) zukünftige Angriffe. Hier gehe es um weitaus „potentere Angreifer“ mit großem Know-how so Pichlmayr, die z. B. Finanzsektor attackieren könnten. Oder es handelt sich um staatliche Hacker wie die Lazarus-Group aus Nordkorea, die massenweise Geld mit Ransomware-Erpressungen macht.

Aktuelles Opfer: Universitätsklink Düsseldorf

Dass es sich beim Ausnutzen der installierten Hintertüren in Citrix nicht nur um Theorie handelt zeigt der jüngste Vorfall in der Uniklinik Düsseldorf. Hier hat „Shitrix“ zu einer Ransomware-Attacke geführt – und damit sogar zu einem Todesfall! Wie es zu dem Vorfall kommen konnte erklärt die Klinik so: „Die Sicherheitslücke befand sich in einer marktüblichen und weltweit verbreiteten kommerziellen Zusatzsoftware. Bis zur endgültigen Schließung dieser Lücke durch die Softwarefirma war ein ausreichendes Zeitfenster gegeben, um in die Systeme einzudringen.“ Anscheinend hat auch die Uniklinik zwar das Update von Citrix ausgeführt, aber zu spät – damit waren die Hintertüren schon produziert. Nur ein komplettes Neu-Aufsetzen des Systems hätte etwaige Backdoors und damit Erpressungen zunichte gemacht! Die Klinik hatte Tage später noch mit den Folgen des Angriffs zu kämpfen und konnte nicht zurück in den Normalbetrieb gehen.

Klinik anscheinend „Fehler“ der Hacker

Es scheint allerdings so, dass die Klinik nicht das Opfer hätte sein sollen. Denn die Täter zogen die Erpressung zurück und schickten einen Schlüssel, als sie von der Polizei informiert wurden, dass nicht die Uni, sondern das Krankenhaus gehackt und somit Patienten in Gefahr seien. Die Staatsanwaltschaft ermittelt jedenfalls wegen „fahrlässiger Tötung“.


Erstellt am:24. September 2020

Schreibe einen Kommentar

Weitere Artikel

5 beste VPN 2020

5 beste VPN 2020

Seit vielen Jahren testen wir VPN-Dienste und schreiben detaillierte Testberichte. Auf unseren Webseiten kann man viele Beispiele der besten VPN-Services finden: die besten 10 VPN Anbieter für Mac OSX, die besten 10 VPN-Anbieter für Android, die 10 besten VPNs für die Nutzung direkt am Heimrouter, beste VPN für Streaming usw. Auf Wunsch unserer Leser haben wir nun auch 5 beste VPN-Dienste im Jahr 2020 ausgewählt. Diese Anbieter sind in jeder Hinsicht besser als andere: ausgezeichnetes Streaming, Top-Geschwindigkeit, benutzerfreundliche Oberfläche, hervorragende ...
Weiterlesen …
/ / Allgemein
Amazon Prime Video Start

Amazon Prime Video Streaming 2020: So klappt es überall!

Neben Netflix zählt Amazon Prime Video zu den beliebtesten Streaming Plattformen. Die zahlreichen Amazon Prime Serien und Amazon Prime Filme haben sich mittlerweile einen fixen Platz im Herzen aller Streaming-Fans gesichert – und mit Amazon Prime Music bei Musik-Fans. Dumm nur, wenn man gerade nicht zu Hause in Deutschland (Österreich/Schweiz) ist und auch dort Amazon Prime Filme & Co streamen möchte. Denn das ist nicht immer möglich! Oder doch? Wir zeigen euch, wir ihr Amazon Video Prime einfach immer und ...
Weiterlesen …
/ / Allgemein
Sicherheitsrisiko Smart TV

Sicherheitsfalle Smart TV

Wenn du dir einen neuen Fernseher kaufst, wäre ein Smart TV Gerät sicher ganz oben auf der Liste. Sie sind ja auch praktisch: Nicht einfach nur Fernsehen ist damit möglich, sondern sie bieten auch noch jeder Menge andere Features wie Videochats oder das Nutzen von Apps wie YouTube oder Apple TV. Smarte Fernseher haben aber leider auch große Nachteile – und zwar vor allem in Sachen Sicherheit. Warum ein solches Gerät vielleicht doch keine so gute Idee ist, erzählen wir ...
Weiterlesen …
/ / Allgemein
Weltkarte der Gesichtserkennung

Weltkarte der Gesichtserkennung 2020

In den letzten 10 Jahren ist die Gesichtserkennungstechnologie bei der Überwachung weltweit immer häufiger geworden. Computerprogramme, die Bilder von menschlichen Gesichtern für die Identifizierung analysieren, werden verwendet, um Kriminelle zu identifizieren und sogar verlorene Kinder in wenigen (hinzufügen) Sekunden zu finden. Heutzutage gibt es insgesamt 109 Länder, die die Gesichtserkennungstechnologie für Überwachungszwecke verwenden oder diesen zugestimmt haben. Aber zu welchen Kosten? Die weltweite Verbreitung dieser Technologie hat wichtige Fragen zu den Auswirkungen solcher weit verbreiteten Überwachungstechnologien auf die Privatsphäre aufgeworfen ...
Weiterlesen …
Wird geladen...