Ransomware-Erpressungen durch Sicherheitsmangel bei VPN-Gateway Citrix

Bereits Anfang 2020 wurde bei Citrix eine enorme Sicherheitslücke entdeckt. Jetzt tauchen erste Folgen auf, die User des VPN-Gateways wie etwa Supermärkte, Ministerien, Ämter etc. betrifft. Sie alle könnten durch die Malware in ihren Systemen Opfer von Erpressungsattacken werden. Aktuellstes Opfer ist die Uniklinik Düsseldorf. Hier hatte der Angriff nicht nur finanzielle Folgen, sondern forderte aufgrund einer Behandlungsverzögerung auch ein Todesopfer.

„Shitrix“ bereits Anfang 2020 entdeckt

Der Name sagt alles: Anfang dieses Jahres sorgte „Shitrix“ (eine Schwachstelle in den Einwahlsystemen von Citrix, die für die Installation von Backdoors genutzt wurde) für Ärger.
HiSolutions (deutsche Sicherheitsberater) sind nun einigen Verschlüsselungsangriffen auf die Spur gekommen, die aufgrund dieser Backdoors möglich wurden. Selbst das damals (allerdings sehr spät) angebotene Software-Update ist gegen bereits vorhandene Hintertüren machtlos. Es ist nicht klar, wie viele derartige Fälle es gilt. Aber sicher nicht wenige, denn schon im Jänner wiesen zahlreiche untersuchte Citrix-Gateways Malware verschiedener Art auf.

Updates helfen nicht gegen bereits installierte Hintertüren

Diese „VPN-Gateways“ wurden fast alle viel zu spät durch Software-Updates gesichert, gegen davor installierte Hintertüren hilft das aber nicht. Nur völlig neu aufgesetzte Systeme gelten als gesichert. Beim aktuellen Erpressungsangriff auf das Klinikum Düsseldorf, der einen Todesfall zur Folge hatte, waren die Angreifer über den Citrix-Gateway eingedrungen. (Mehr dazu weiter unten). Es ist davon auszugehen, dass auch hierzulande eine unbekannte Zahl an Hintertüren in den hunderten Citrix-Gateways großer Netze existieren.

Vorgehensweise der Angreifer plump

Bei den Erpressern handelt es sich um keine genialen Masterminds. Sie haben laut HiSolutions einfachste Vorgehensweisen und Standard-Malware verwendet, um die Daten in den attackierten Systemen zu verschlüsseln. Citrix-User sind davor nicht gefeit. Momemtan können es zu zahlreichen derartigen Attacken kommen. HiSolutions empfiehlt deswegen, „Citrix NetScaler Systeme insbesondere auf mögliche neue Benutzer oder auffällige Netzwerkaktivitäten zu überprüfen“. Außerdem sollen Betroffene einen Blick in den Ordner /var/vpn/bookmark werfen, „da hier vom Angreifer eingeschleusten XML-Dateien zu finden sind.“

Backdoor-Macher nicht gleich Erpresser

Jene Cyberkriminelle die Anfang des Jahres die Backdoors installiert haben, sind eher nicht dieselben, welche nun die Unternehmen erpressen. Dieser Meinung ist zumindest Sicherheitsexperte Joe Pichlmayr im ORF-Interview. Denn derartige Backdoors sind gern gehandelte Ware im Darknet, generell spielt es sich am Schwarzmarkt in Sachen Malware-Kauf etc. richtig ab. Für Geld kann man hier alles kaufen, was es für Cyberattacken braucht. Deshalb sind die Citrix-Hintertüren auch ein sehr großes Risiko für massive(re) zukünftige Angriffe. Hier gehe es um weitaus „potentere Angreifer“ mit großem Know-how so Pichlmayr, die z. B. Finanzsektor attackieren könnten. Oder es handelt sich um staatliche Hacker wie die Lazarus-Group aus Nordkorea, die massenweise Geld mit Ransomware-Erpressungen macht.

Aktuelles Opfer: Universitätsklink Düsseldorf

Dass es sich beim Ausnutzen der installierten Hintertüren in Citrix nicht nur um Theorie handelt zeigt der jüngste Vorfall in der Uniklinik Düsseldorf. Hier hat „Shitrix“ zu einer Ransomware-Attacke geführt – und damit sogar zu einem Todesfall! Wie es zu dem Vorfall kommen konnte erklärt die Klinik so: „Die Sicherheitslücke befand sich in einer marktüblichen und weltweit verbreiteten kommerziellen Zusatzsoftware. Bis zur endgültigen Schließung dieser Lücke durch die Softwarefirma war ein ausreichendes Zeitfenster gegeben, um in die Systeme einzudringen.“ Anscheinend hat auch die Uniklinik zwar das Update von Citrix ausgeführt, aber zu spät – damit waren die Hintertüren schon produziert. Nur ein komplettes Neu-Aufsetzen des Systems hätte etwaige Backdoors und damit Erpressungen zunichte gemacht! Die Klinik hatte Tage später noch mit den Folgen des Angriffs zu kämpfen und konnte nicht zurück in den Normalbetrieb gehen.

Klinik anscheinend „Fehler“ der Hacker

Es scheint allerdings so, dass die Klinik nicht das Opfer hätte sein sollen. Denn die Täter zogen die Erpressung zurück und schickten einen Schlüssel, als sie von der Polizei informiert wurden, dass nicht die Uni, sondern das Krankenhaus gehackt und somit Patienten in Gefahr seien. Die Staatsanwaltschaft ermittelt jedenfalls wegen „fahrlässiger Tötung“.


Erstellt am: 24. September 2020

Schreibe einen Kommentar

Weitere Artikel

Tour de France Livestream 2022 – kostenlos!

Tour de France Livestream 2022 – kostenlos!

Radsport Fans aufgepasst! Von 1. bis 24 Juli findet die Tour de France 2022 statt – Start ist in Kopenhagen, Ende in Frankreich. Mit dabei sind bekannte Teilnehmer wie Tadej Pogacar, Jonas Vingegaard und Geraint Thomas. Wir sagen dir, wie du den Tour de France Live Stream von überall aus genießen kannst – auch kostenlos mit Streamingdiensten wie Zattoo bzw. im free TV. Inhaltsverzeichnis Was ist die Tour de France? Die Tour de France oder La Grande Boucle ist ein ...
Weiterlesen …
Lifehack: So erstellst du PDF-Dokumente von jeder Website & auf jedem Gerät

Lifehack: So erstellst du PDF-Dokumente von jeder Website & auf jedem Gerät

Es muss nicht immer die kostenpflichtige Acrobat-App sein. Wir zeigen dir heute, wie du unabhängig von Gerät & Ort kostenlos ein PDF erstellen kannst. Am Smartphone genauso wie am PC. PDFs drucken ohne Acrobat Die Acrobat-App von Adobe kennen die meisten. Allerdings ist sie kostenpflichtig. Um ein PDF von einer Webseite oder einem beliebigen Dokument zu erstellen, muss es aber nicht unbedingt diese App sein. Denn die meisten Methoden sind direkt in das Betriebssystem deines Geräts integriert und nur ein ...
Weiterlesen …
Lifehack: So wirst du Bloatware auf deinem Android-Telefon los

Lifehack: So wirst du Bloatware auf deinem Android-Telefon los

Auf Handys befinden sich von vornherein jede Menge (oft auch unnütze) Apps – Bloatware genannt. Wir zeigen dir heute, wie du diese Apps auf deinem Android-Smartphone stoppst. Inhaltsverzeichnis Bloatware = nutzlose, vorinstallierte Software Hersteller und Netzbetreiber installieren auf Android-Telefonen oft eine ganze Reihe von Apps vor. Wenn du diese nicht verwendest, überladen sie dein System und verbrauchen im Hintergrund den Akku. Übernimm jetzt die Kontrolle über dein Gerät und bekomme die Bloatware in den Griff! Bloatware einfach deinstallieren? Nicht alle ...
Weiterlesen …
Lifehack: So klappt Torrenting kostenlos & quelloffen auf Android

Lifehack: So klappt Torrenting kostenlos & quelloffen auf Android

Du betreibst gerne Torrenting und bist immer auf der Suche nach guten Torrent-Clients? Wir zeigen dir heute einen BitTorrent-Client, der als einer der wenigen quelloffen ist, aber trotzdem über einen großen Funktionsumfang verfügt. Inhaltsverzeichnis LibreTorrent: völlig freier, kostenloses BitTorrent-Client Die meisten Torrent-Clients sind nicht Open Source und arbeiten auch sehr viel mit Werbung. Bei LibreTorrent ist das anders. Der BitTorrent-Client wurde 2016 von einem russischen Entwickler ins Leben gerufen, der endlich einen „komplett freien“ Client für Android nutzen wollte. Heute ...
Weiterlesen …
Wird geladen...