Ransomware-Erpressungen durch Sicherheitsmangel bei VPN-Gateway Citrix

Bereits Anfang 2020 wurde bei Citrix eine enorme Sicherheitslücke entdeckt. Jetzt tauchen erste Folgen auf, die User des VPN-Gateways wie etwa Supermärkte, Ministerien, Ämter etc. betrifft. Sie alle könnten durch die Malware in ihren Systemen Opfer von Erpressungsattacken werden. Aktuellstes Opfer ist die Uniklinik Düsseldorf. Hier hatte der Angriff nicht nur finanzielle Folgen, sondern forderte aufgrund einer Behandlungsverzögerung auch ein Todesopfer.

“Shitrix” bereits Anfang 2020 entdeckt

Der Name sagt alles: Anfang dieses Jahres sorgte „Shitrix“ (eine Schwachstelle in den Einwahlsystemen von Citrix, die für die Installation von Backdoors genutzt wurde) für Ärger.
HiSolutions (deutsche Sicherheitsberater) sind nun einigen Verschlüsselungsangriffen auf die Spur gekommen, die aufgrund dieser Backdoors möglich wurden. Selbst das damals (allerdings sehr spät) angebotene Software-Update ist gegen bereits vorhandene Hintertüren machtlos. Es ist nicht klar, wie viele derartige Fälle es gilt. Aber sicher nicht wenige, denn schon im Jänner wiesen zahlreiche untersuchte Citrix-Gateways Malware verschiedener Art auf.

Updates helfen nicht gegen bereits installierte Hintertüren

Diese „VPN-Gateways“ wurden fast alle viel zu spät durch Software-Updates gesichert, gegen davor installierte Hintertüren hilft das aber nicht. Nur völlig neu aufgesetzte Systeme gelten als gesichert. Beim aktuellen Erpressungsangriff auf das Klinikum Düsseldorf, der einen Todesfall zur Folge hatte, waren die Angreifer über den Citrix-Gateway eingedrungen. (Mehr dazu weiter unten). Es ist davon auszugehen, dass auch hierzulande eine unbekannte Zahl an Hintertüren in den hunderten Citrix-Gateways großer Netze existieren.

Vorgehensweise der Angreifer plump

Bei den Erpressern handelt es sich um keine genialen Masterminds. Sie haben laut HiSolutions einfachste Vorgehensweisen und Standard-Malware verwendet, um die Daten in den attackierten Systemen zu verschlüsseln. Citrix-User sind davor nicht gefeit. Momemtan können es zu zahlreichen derartigen Attacken kommen. HiSolutions empfiehlt deswegen, „Citrix NetScaler Systeme insbesondere auf mögliche neue Benutzer oder auffällige Netzwerkaktivitäten zu überprüfen“. Außerdem sollen Betroffene einen Blick in den Ordner /var/vpn/bookmark werfen, „da hier vom Angreifer eingeschleusten XML-Dateien zu finden sind.“

Backdoor-Macher nicht gleich Erpresser

Jene Cyberkriminelle die Anfang des Jahres die Backdoors installiert haben, sind eher nicht dieselben, welche nun die Unternehmen erpressen. Dieser Meinung ist zumindest Sicherheitsexperte Joe Pichlmayr im ORF-Interview. Denn derartige Backdoors sind gern gehandelte Ware im Darknet, generell spielt es sich am Schwarzmarkt in Sachen Malware-Kauf etc. richtig ab. Für Geld kann man hier alles kaufen, was es für Cyberattacken braucht. Deshalb sind die Citrix-Hintertüren auch ein sehr großes Risiko für massive(re) zukünftige Angriffe. Hier gehe es um weitaus „potentere Angreifer“ mit großem Know-how so Pichlmayr, die z. B. Finanzsektor attackieren könnten. Oder es handelt sich um staatliche Hacker wie die Lazarus-Group aus Nordkorea, die massenweise Geld mit Ransomware-Erpressungen macht.

Aktuelles Opfer: Universitätsklink Düsseldorf

Dass es sich beim Ausnutzen der installierten Hintertüren in Citrix nicht nur um Theorie handelt zeigt der jüngste Vorfall in der Uniklinik Düsseldorf. Hier hat „Shitrix“ zu einer Ransomware-Attacke geführt – und damit sogar zu einem Todesfall! Wie es zu dem Vorfall kommen konnte erklärt die Klinik so: „Die Sicherheitslücke befand sich in einer marktüblichen und weltweit verbreiteten kommerziellen Zusatzsoftware. Bis zur endgültigen Schließung dieser Lücke durch die Softwarefirma war ein ausreichendes Zeitfenster gegeben, um in die Systeme einzudringen.“ Anscheinend hat auch die Uniklinik zwar das Update von Citrix ausgeführt, aber zu spät – damit waren die Hintertüren schon produziert. Nur ein komplettes Neu-Aufsetzen des Systems hätte etwaige Backdoors und damit Erpressungen zunichte gemacht! Die Klinik hatte Tage später noch mit den Folgen des Angriffs zu kämpfen und konnte nicht zurück in den Normalbetrieb gehen.

Klinik anscheinend „Fehler“ der Hacker

Es scheint allerdings so, dass die Klinik nicht das Opfer hätte sein sollen. Denn die Täter zogen die Erpressung zurück und schickten einen Schlüssel, als sie von der Polizei informiert wurden, dass nicht die Uni, sondern das Krankenhaus gehackt und somit Patienten in Gefahr seien. Die Staatsanwaltschaft ermittelt jedenfalls wegen „fahrlässiger Tötung“.


Erstellt am: 24. September 2020

Schreibe einen Kommentar

Weitere Artikel

/ / Allgemein
Biometrische Daten Fingerabdruck

Biometrische Daten: Wie sicher sind sie?

Futuristische Augenscanner und sprachgesteuerte Türen kannten wir früher höchstens aus Spionage- und Scienc-Fiction-Blockbuster. Heute ist das ganz anders: Wir können verschiedenste Geräte mit unseren Gesichtern und Daumenabdrücken entsperren – biometrische Technologie ist die neue Normalität und wird immer mehr verwendet. Oft wird sie als die einfachste und sicherste Möglichkeit gepriesen, ein Smartphone oder einen hoch geheimen Ort zu schützen. Schließlich kann deine Fingerabdrücke nun wirklich niemand stehlen ... oder? Ganz so einfach ist es aber tatsächlich nicht. Denn kaum jemand ...
Weiterlesen …
/ / Allgemein
Allsehendes Auge

Überwacht dich die CIA?

Die Überwachung durch Regierungen wird immer massiver. Sowohl demokratische als auch autoritäre Regierungen spionieren uns regelmäßig aus. Aber beobachtet dich jetzt gerade in diesem Moment ein Regierungs-Spion? Überwachung kann sehr schwierig festzustellen sein, aber es gibt Wege, um dich davor zu schützen. In diesem Artikel erfährst du, welche Zeichen es für staatliche Überwachung gibt und wie du dieser entkommen kannst. Hinweise auf staatliche Überwachung Wenn du nichts Kriminelles getan hast, dass dich auf die CIA-Watchlist gebracht hat, ist es eher ...
Weiterlesen …
/ / Datenschutz
Homeoffice

Datensicherheit: So schützt du dich vor Angriffen der nächsten Generation

Mit der steigenden Internetnutzung steigt leider auch die Zahl von Cyberangriffen. Security-Experte Aamir Lakhani von Fortinet zeigt im folgenden Artikel Best Practices zur Sicherung von Unternehmensdaten gegen Bedrohungen der nächsten Generation, wie z. B. Edge-Access-Trojaner (EATs). Hacker konzentrieren sich vermehrt auf Cloud & Homeoffice Cyberkriminelle sind ständig auf der Suche nach potenziellen neuen Angriffsmöglichkeiten und der nächsten sich bietenden Gelegenheit, diese Attacken auch umzusetzen. Derzeit investieren Hacker & Co erhebliche Ressourcen, um (durch die Corona-Pandemie massiv) neu entstehende Netzwerk-Edge-Umgebungen, wie ...
Weiterlesen …
/ / Datenschutz
Ist das Homeoffice wirklich sicher?

Ist das Homeoffice wirklich sicher?

Aufgrund der Corona-Pandemie sind viele Mitarbeiter im Heimbüro aktiv - derzeit Hunderttausende auf der ganzen Welt. In der Regel verfügt das Netzwerk im Büro aber über eine höhere Sicherheit und bessere Geräte als im Home-Office - was ein höheres Risiko für Cyberkriminalität darstellt. Was sagen Firmen dazu? Das Leibniz-Zentrum für Europäische Wirtschaftsforschung in Mannheim führte eine Umfrage unter Unternehmen über die Veränderungen durch, die die Arbeit von zu Hause aus mitbringt. In großen Unternehmen führt die Quarantäne zu einer umfassenderen ...
Weiterlesen …
Wird geladen...