Ransomware-Erpressungen durch Sicherheitsmangel bei VPN-Gateway Citrix

Bereits Anfang 2020 wurde bei Citrix eine enorme Sicherheitslücke entdeckt. Jetzt tauchen erste Folgen auf, die User des VPN-Gateways wie etwa Supermärkte, Ministerien, Ämter etc. betrifft. Sie alle könnten durch die Malware in ihren Systemen Opfer von Erpressungsattacken werden. Aktuellstes Opfer ist die Uniklinik Düsseldorf. Hier hatte der Angriff nicht nur finanzielle Folgen, sondern forderte aufgrund einer Behandlungsverzögerung auch ein Todesopfer.

„Shitrix“ bereits Anfang 2020 entdeckt

Der Name sagt alles: Anfang dieses Jahres sorgte „Shitrix“ (eine Schwachstelle in den Einwahlsystemen von Citrix, die für die Installation von Backdoors genutzt wurde) für Ärger.
HiSolutions (deutsche Sicherheitsberater) sind nun einigen Verschlüsselungsangriffen auf die Spur gekommen, die aufgrund dieser Backdoors möglich wurden. Selbst das damals (allerdings sehr spät) angebotene Software-Update ist gegen bereits vorhandene Hintertüren machtlos. Es ist nicht klar, wie viele derartige Fälle es gilt. Aber sicher nicht wenige, denn schon im Jänner wiesen zahlreiche untersuchte Citrix-Gateways Malware verschiedener Art auf.

Updates helfen nicht gegen bereits installierte Hintertüren

Diese „VPN-Gateways“ wurden fast alle viel zu spät durch Software-Updates gesichert, gegen davor installierte Hintertüren hilft das aber nicht. Nur völlig neu aufgesetzte Systeme gelten als gesichert. Beim aktuellen Erpressungsangriff auf das Klinikum Düsseldorf, der einen Todesfall zur Folge hatte, waren die Angreifer über den Citrix-Gateway eingedrungen. (Mehr dazu weiter unten). Es ist davon auszugehen, dass auch hierzulande eine unbekannte Zahl an Hintertüren in den hunderten Citrix-Gateways großer Netze existieren.

Vorgehensweise der Angreifer plump

Bei den Erpressern handelt es sich um keine genialen Masterminds. Sie haben laut HiSolutions einfachste Vorgehensweisen und Standard-Malware verwendet, um die Daten in den attackierten Systemen zu verschlüsseln. Citrix-User sind davor nicht gefeit. Momemtan können es zu zahlreichen derartigen Attacken kommen. HiSolutions empfiehlt deswegen, „Citrix NetScaler Systeme insbesondere auf mögliche neue Benutzer oder auffällige Netzwerkaktivitäten zu überprüfen“. Außerdem sollen Betroffene einen Blick in den Ordner /var/vpn/bookmark werfen, „da hier vom Angreifer eingeschleusten XML-Dateien zu finden sind.“

Backdoor-Macher nicht gleich Erpresser

Jene Cyberkriminelle die Anfang des Jahres die Backdoors installiert haben, sind eher nicht dieselben, welche nun die Unternehmen erpressen. Dieser Meinung ist zumindest Sicherheitsexperte Joe Pichlmayr im ORF-Interview. Denn derartige Backdoors sind gern gehandelte Ware im Darknet, generell spielt es sich am Schwarzmarkt in Sachen Malware-Kauf etc. richtig ab. Für Geld kann man hier alles kaufen, was es für Cyberattacken braucht. Deshalb sind die Citrix-Hintertüren auch ein sehr großes Risiko für massive(re) zukünftige Angriffe. Hier gehe es um weitaus „potentere Angreifer“ mit großem Know-how so Pichlmayr, die z. B. Finanzsektor attackieren könnten. Oder es handelt sich um staatliche Hacker wie die Lazarus-Group aus Nordkorea, die massenweise Geld mit Ransomware-Erpressungen macht.

Aktuelles Opfer: Universitätsklink Düsseldorf

Dass es sich beim Ausnutzen der installierten Hintertüren in Citrix nicht nur um Theorie handelt zeigt der jüngste Vorfall in der Uniklinik Düsseldorf. Hier hat „Shitrix“ zu einer Ransomware-Attacke geführt – und damit sogar zu einem Todesfall! Wie es zu dem Vorfall kommen konnte erklärt die Klinik so: „Die Sicherheitslücke befand sich in einer marktüblichen und weltweit verbreiteten kommerziellen Zusatzsoftware. Bis zur endgültigen Schließung dieser Lücke durch die Softwarefirma war ein ausreichendes Zeitfenster gegeben, um in die Systeme einzudringen.“ Anscheinend hat auch die Uniklinik zwar das Update von Citrix ausgeführt, aber zu spät – damit waren die Hintertüren schon produziert. Nur ein komplettes Neu-Aufsetzen des Systems hätte etwaige Backdoors und damit Erpressungen zunichte gemacht! Die Klinik hatte Tage später noch mit den Folgen des Angriffs zu kämpfen und konnte nicht zurück in den Normalbetrieb gehen.

Klinik anscheinend „Fehler“ der Hacker

Es scheint allerdings so, dass die Klinik nicht das Opfer hätte sein sollen. Denn die Täter zogen die Erpressung zurück und schickten einen Schlüssel, als sie von der Polizei informiert wurden, dass nicht die Uni, sondern das Krankenhaus gehackt und somit Patienten in Gefahr seien. Die Staatsanwaltschaft ermittelt jedenfalls wegen „fahrlässiger Tötung“.


Erstellt am: 24. September 2020

Schreibe einen Kommentar

Weitere Artikel

/ / Allgemein
SlickVPN: clever & geschickt oder so lala?

SlickVPN: clever & geschickt oder so lala?

Auf ein Neues möchte ich euch heute einen der unbekannteren VPN Provider vorstellen, der auch gleich mal wieder mit seinem Namen Großes verkündet. Das „slick“ in Slick VPN steht nämlich für clever und gekonnt. Wird der VPN Dienst seinem Namen tatsächlich gerecht? Wie performt SlickVPN? Welche Features gibt es und welche Anwendungsbereiche? Schauen wir es uns an! SlickVPN Serverinfo Bei SlickVPN handelt es sich um einen US-Provider, der 2011 gegründet wurde und mehr als 150 Server an über 40 Standorten ...
Weiterlesen …
BelkaVPN: „Kugelsicherer“ globaler VPN?

BelkaVPN: „Kugelsicherer“ globaler VPN?

Heute stellen wir euch einen weiteren weniger bekannten VPN Anbieter mit einem russischen Namen vor – BelkaVPN. Kommt der Anbieter tatsächlich aus Russland, was verspricht der Anbieter und welche Funktionalität liefert er, erfahrt ihr in diesem Artikel.BelkaVPN Preise & KostenEin 3-Jahres-Paket kostet derzeit 99,99 US-Dollar. Es gibt auch ein Jahres-Abo für 80 US-Dollar und ein Monatsabonnement für 11,99 US-Dollar. Egal, welchen der 3 Tarife man auswählt, es können gleichzeitig immer 5 Geräte mit dem Service verbunden werden. In jedem Tarif ...
Weiterlesen …
/ / Allgemein
Anleitung: Surfshark auf Gl-iNet Router verwenden (OpenVPN)

Anleitung: Surfshark auf Gl-iNet Router verwenden (OpenVPN)

In der folgenden Anleitung zeigen wir, wie Du Surfshark VPN sehr einfach auf jeden Gl.iNet Router verwenden kannst. Folge dazu einfach unserer Anleitung Schritt für Schritt. Surfshark VPN mit OpenVPN auf jedem Gl.iNet Router verwenden. Grundsätzlich ist die Kombination von Surfshark VPN mit einem Gl.iNet Router absolut zu empfehlen. Der VPN Dienst bietet verschiedene Protokolle an die auch von Gl.iNet unterstützt werden und auch mit OpenVPN lassen sich damit super stabile und schnelle Verbindungen erreichen. Surfshark arbeitet auch derzeit an ...
Weiterlesen …
ClearVPN: VPN mit Durchblick oder Tomaten vor den Augen?

ClearVPN: VPN mit Durchblick oder Tomaten vor den Augen?

Heute steht der ziemlich neue Provider ClearVPN bei uns im Fokus: Das Service von MacPaw möchte seinen Usern eine möglichst einfach und komfortable Bedienung ermöglichen und hat deswegen sogenannte Shortcuts (genauer gesagt Shortcut-Server) eingeführt. Was es damit auf sich hat und ob ClearVPN in Sachen User-Bedürfnisse wirklich klar sieht – hier erfährst du es!ClearVPN InfosClearVPN wurde 2020 von MacPaw gegründet, die auch hinter CleanMyMac, Gemini 2 und für die Software-Flatrate Setapp stecken. Beheimatet ist der Provider in der Ukraine, was ...
Weiterlesen …
Wird geladen...