LockBit lebt noch

Nachdem es anfangs so schien, als hätten internationale Ermittler die Ransomware-Gruppierung LockBit in einer Operation namens Cronos endgültig zerschlagen, hat sich der mutmaßliche Kopf der Organisation mit einer aus der Ich-Perspektive verfassten Erklärung zurückgemeldet. LockBit gilt als die derzeit größte Ransomware-Gruppe und verdiente bis dato nach eigenen Aussagen über 100 Millionen US-Dollar mit ihren Hacks.

Am 19.02. wurde bekannt, dass Ermittler von zehn Behörden Zugriff auf große Teile der Daten, Kryptowallets sowie Webseiten der Gruppe erlangten. Zusätzlich wurden zwei Personen in Polen und in der Ukraine festgenommen. Die Operation Cronos nutzte eine Lücke in PHP aus, um die LockBit-Server zu infiltrieren. Werkzeuge zur Entschlüsselung betroffener Daten wurden ebenfalls erlangt.

In der Folge haben die Ermittler auch die Enthüllung der Identität des vermeintlichen Chefs der Bande in besonderer Manier angekündigt. Durch eine provozierende Strategie wollten sie den Ruf und das Vertrauen in den Chef und in die Gruppe untergraben. Misstrauen soll speziell unter den Kriminellen gesät werden, die sich häufig als unantastbar gegenüber Strafverfolgungsbehörden geben. Die eigentliche Enthüllung lieferte wenig konkrete Details. Ob die Strategie des öffentlichen Trollings gegenüber den Gruppen Erfolg hat, bleibt abzuwarten.

Die jüngste Stellungnahme von LockBit zerstört indes die Hoffnung, dass die Gruppe tatsächlich zerschlagen wurde. Sie gesteht sich zwar Fehler im Betrieb ihrer Systeme ein, plant jedoch, Angriffe auf staatliche Institutionen zu verstärken. Zudem macht sie sich über die Behörden hinter Cronos lustig und bietet Jobs für die Personen an, die die Schwachstellen in LockBits Infrastruktur fanden. Sie spekuliert über mögliche Motive für den Gegenangriff und sieht dies als Bestätigung ihrer Bedeutung. Die Gruppe scheint vor allem gut darin zu sein, sich selbst ihr Geschäftsmodell auf zweifelhafte Weise zu legitimieren.

LockBit bleibt damit die führende Ransomware-as-a-Service-Gruppe, deren „Dienst” verantwortlich für über 20 % aller Ransomware-Angriffe im letzten Jahr war.

Das Statement der Gruppe im Original: https://samples.vx-underground.org/tmp/Lockbit_Statement_2024-02-24.txt

Die letzte Meldung auf Heise mit Einschätzung des Statements: https://heise.de/-9638063

Ivantis VPN-Software von neuen Schwachstellen heimgesucht

Der erste Blick in den Eierkorb führt uns zu Ivanti mit ihrer VPN-Software: Nachdem am 10. Januar durch den Hersteller zwei Sicherheitslücken veröffentlicht wurden, sind nun am 31. Januar zwei weitere Schwachstellen entdeckt worden. Diese werden seit geraumer Zeit aktiv ausgenutzt. Die neuen Lücken sind mit dem Patch der älteren Schwachstellen aufgetaucht und wurden mit den Updates direkt mitgeflickt.

Besonders problematisch ist die Kombination der ersten beiden Schwachstellen. Damit wird es möglich, willkürliche Kommandos auf den Systemen auszuführen. Während die erste Schwachstelle einen Authentication-Bypass in der Webkomponente von Ivanti ICS und Policy Secure ermöglicht, kann man bei der zweiten Schwachstelle eine Command-Injection in den Webkomponenten von Ivanti Connect Secure und Policy Secure vornehmen. Diese Kombination aus Rechteerlangung und Remote Execution ist äußerst problematisch.

Die durch Ivanti zur Verfügung gestellten Updates bieten vorläufige Gegenmaßnahmen für den alten Angriffsvektor sowie gegen die neu gefundenen Lücken. Patchen Sie als Kunde von Ivanti Ihre Produkte so schnell wie möglich!

Mit den weiteren gefundenen Schwachstellen kommen eine Privilege Escalation sowie eine Server Side Request Forgery dazu. Die SSRF-Schwachstelle, die Zugriff auf bestimmte Ressourcen ohne Authentifizierung erlaubt, wird bereits aktiv ausgenutzt. Das BSI erwartet eine steigende Verwendung dieser Sicherheitslücke.

Ausgenutzt werden die Schwachstellen derzeit von verschiedenen Akteuren, darunter die Gruppe UTA0178. Ziele der Angreifer sind häufig Regierungen, Telekommunikationsunternehmen, Verteidigungsunternehmen und Fortune-500-Unternehmen weltweit. Die Entdeckung dieser Vielzahl an Zero-Days, gepaart mit dem beobachteten Verhalten der Angreifer und der Wahl der Zielorganisationen lassen auf Threat-Actors schließen, die über weitreichende Ressourcen und Kenntnisse verfügen.

 Eine Prüfung auf eine Kompromittierung ist beim Einsatz der Ivanti-Produkte in allen Fällen notwendig.

Die letzte Meldung auf heise finden Sie hier:

https://www.heise.de/news/Ivanti-Neues-ausgenutztesSicherheitsleck-Updates-endlich-verfuegbar-9615184.html

Einen technischen Deep-Dive zu den Schwachstellen finden Sie hier:

https://www.mandiant.com/resources/blog/investigating-ivanti-zero-day-exploitation

HiSolutions Research

Vorfallupdates – Microsoft und LastPass

Zu zwei Vorfällen, die wir bereits in unserem Digest behandelt haben, gab es in den letzten Tagen Neuigkeiten, die ich gern aufgreifen möchte.

Zuerst zu Microsofts Problem mit unberechtigten Anmeldungen in der Cloud, ein Thema aus dem letzten Digest. Eine zentrale Rolle spielte dabei ein privater Schlüssel, den die Angreifer erbeutet hatten, und mit dem sie sich dann beliebige Zugangstoken selbst unterschreiben konnten. Zu diesem Fall gibt es inzwischen von Microsoft eine detaillierte Beschreibung, wie der Schlüssel über mehrere Stufen aus dem produktiven Server auf eine Testumgebung gelangen konnte. Es wird vermutet, dass er dort von den Angreifern entwendet wurde.

Zusammengefasst wurde zur Rekonstruktion eines Fehlers ein Crashdump des produktiven Servers in die Testumgebung zur Analyse kopiert. Dabei hätte der Crashdump keine Schlüssel enthalten dürfen und falls doch, hätte es an mehreren Stellen in dem Kopierprozess auffallen müssen – keiner der Filter hat jedoch angeschlagen. Das ist aus meiner Sicht eine der Lektionen aus dem Vorfall: Vertraue keinem automatischen Bereinigungsprozess – gerade bei komplexen, unstrukturierten Daten wie Crashdumps –, sondern behandle diese Daten so sensibel wie die ursprünglichen.

Die andere Lektion ist, dass sich die Spur ab der Testumgebung verliert. Es waren keine Protokolldaten mehr da, um die Spur weiter zu verfolgen. Es bleibt also eine bloße Vermutung, dass die Schlüssel über diesen Weg zu den Angreifern gelangten. Gerade bei weiter zurückliegenden Vorfällen stehen auch unsere Forensiker immer wieder vor dem Problem, dass Protokolldaten fehlen. Entweder sie wurden gar nicht erst aufgezeichnet oder aber automatisch gelöscht bzw. überschrieben.

Das zweite Info-Update betrifft den Vorfall beim Passwortmanager LastPass im letzten Jahr, den wir in unserem Januar-Digest thematisierten. Jetzt gibt es einen Verdacht, was mit den gestohlenen Passwörtern passiert sein könnte. Es wird vermutet, dass die Angreifer in den LastPass-Daten Seeds Phrases – also Zugangsdaten für Konten von Krypto-Währungen – gefunden und damit unberechtigte Abbuchungen vorgenommen haben. Taylor Monahan vom Krypto-Wallet-Hersteller MetaMask hatte angesichts einer Reihe von Diebstählen von Krypto-Werten Verdacht geschöpft und die LastPass-Nutzung als gemeinsamen Nenner identifiziert. Sicherheitsexperte Brian Krebs ist in seinem Blog dieser Vermutung nachgegangen und hat noch ein paar weitere Indizien ergänzt.

HiSolutions Research

Eine 10 von 10 – Ivanti CVE-2023‑35078 – Hilfe zur Selbsthilfe


Update vom 10.08.2023:

Für Ivanti Endpoint Manager Mobile (EPMM) wurde am 03.08.2023 eine weitere Schwachstelle (CVE‑2023-35082) mit einer CVSS-Bewertung von 10.0 veröffentlicht. Die Schwachstelle ist ähnlich zu der initial veröffentlichen CVE-2023-35078. Am 07.08.2023 hat Invanti veröffentlicht, dass diese Schwachstelle alle Versionen von EPMM betrifft. Die Maßnahmen zum Schließen der Schwachstelle und einer Identifizierung eines Angriffs wurden in dem Dokument „Hilfe zur Selbsthilfe – CVE‑2023‑35078“ ergänzt.


Update vom 01.08.2023:

Auf Basis der bereits veröffentlichten Expoits konnte der String zur Identifizierung eines Angriffs genauer bestimmt werden. Diese finden Sie in dem Dokument „Hilfe zur Selbsthilfe – CVE-2023 35078“ unter dem Punkt 2.


Update vom 31.07.2023:

Seit dem Wochenende gibt es die ersten öffentlichen Proof of Concept Exploits auf GitHub. Die teilweise in Python geschriebenen Programme ermöglichen eine automatische Ausnutzung der Ivanti Schwachstelle CVE-2023-35078.

Zusätzlich wurde am 28.07.2023 von Ivanti eine weitere Sicherheitslücke (CVE-2023-35081) publiziert. Hierbei handelt es sich um eine Schwachstelle welche es dem Angreifer erlaubt als authentifizierten Administrator beliebige Schreibvorgänge auf dem EPMM-Server durchzuführen.


Am 24. Juli 2023 hat der Hersteller Ivanti Informationen zu der Sicherheitslücke CVE-2023‑35078  veröffentlicht. Die Schwachstelle betrifft die Software „Ivanti Endpoint Manager Mobile“ (EPMM), auch bekannt als MobileIron Core. Um unseren Kunden eine Möglichkeit zu geben, erste Maßnahmen zu ergreifen und ihre Systeme zu prüfen, haben wir einen Leitfaden „Hilfe zur Selbsthilfe – CVE-2023‑35078“ erstellt. Der Leitfaden kombiniert die öffentlichen Informationen der staatlichen Sicherheitsbehörden, Fach-Blogs und die Angaben des Herstellers mit der Expertise der HiSolutions.

Sollten Sie Ivanti bzw. MobileIron Core nutzen, prüfen Sie bitte anhand des Dokuments, ob Sie alle relevanten Maßnahmen ergriffen haben.

HINWEIS: Das Dokument wird laufend aktualisiert. Bitte achten Sie daher auch auf weitere Veröffentlichungen auf unserem Research-Blog. Weitere Informationen und Cybersicherheitswarnungen erhalten Sie auch beim Bundesamt für Sicherheit in der Informationstechnik (BSI) unter https://www.bsi.bund.de/SiteGlobals/Forms/Suche/BSI/Sicherheitswarnungen/Sicherheitswarnungen_Formular.html


HiSolutions Research

Medientipp März 2023

Wer sich schon mal stundenlang in der Wikipedia verlaufen hat und das jetzt auch mit mehr Sicherheit wiederholen will, sollte sich ein paar ruhige Stunden nehmen und dann die MITRE ATT&CK Webseite öffnen:

https://attack.mitre.org/

Die ATT&CK-Matrix gibt nicht nur ein dekoratives Poster her, sondern bietet mit ihrem mehrdimensionalen Ansatz auch viel Raum, um spannende Zusammenhänge zu finden. Es gibt verschiedene Einstiegslisten: alle möglichen Angriffstechniken, Tools oder Angreifergruppen. Zu jedem Eintrag gibt es eine kurze Beschreibung und viele Verknüpfungen zu den anderen Dimensionen. So kann man etwa über die Liste Tools zu dem oben erwähnten Cobalt Strike kommen und findet dort alle Techniken, bei denen es zum Einsatz kommt sowie Gruppen, die es nutzen. Auf diese Weise kann man sich schön durch die Welt der Angreifer klicken und findet auch viele weiterführende Links.

Passenderweise gibt es direkt auf der Startseite einen Button „Random Page“: ein Klick – und die Reise kann beginnen.

HiSolutions Research

Fuhrpark im Visier – Erpresserangriff auf Fahrdienst der Bundeswehr

Die Fahrdienst-Tochter der Bundeswehr „Bundeswehr Fuhrpark Service“ ist Opfer eines Emotet-Angriffs geworden. Aufgrund besonders sensibler personenbezogener Daten innerhalb des Fahrdienstes des Deutschen Bundestages war zwischenzeitlich das politische Interesse an dem Vorfall sehr groß; inzwischen wurde jedoch klar, dass es sich nicht um einen gezielten Angriff handelt, sondern um ungezielte Erpressung ging.

HiSolutions Research

Lesetipps Juli 2020

Bitkom-Studie: 75 % bewölkt

In 3 von 4 Unternehmen werden Cloud-Infrastrukturen genutzt. Aber 70 % der Nicht-Nutzer fürchten einen unberechtigten Zugriff, 60 % ist die Rechtslage unklar, 59 % zweifeln an der Integration einer Public-Cloud in bestehende Lösungen und 43 % fehlen Ressourcen im Personal. Sichere Cloud ist zwar machbar, aber keinesfalls kostenlos zu haben.

https://www.bitkom.org/Presse/Presseinformation/Drei-von-vier-Unternehmen-nutzen-Cloud-Computing


Crowd-Sourced Tech-Talk Best-Of

Mit der Frage “What’s the best tech talk you’ve ever seen?” hat Microsoft Azures Open-Source-Evangelistin Ashley Willis einen langen Reply-Thread aus Vortragsempfehlungen geschaffen:

https://twitter.com/ashleymcnamara/status/1278537744352862208


Can you see me swinging: Abhören via Lamphone

Nur im Dunkeln ist gut munkeln: Wenn Schallwellen das Licht flackern lassen, ermöglicht das unter bestimmten Umständen bereits ein passives Abhören. Ein klarer Vorteil gegenüber herkömmlichen Lasermikrofonen, welche aktiv arbeiten und daher wesentlich teurer und prinzipiell auch detektierbar sind.

https://www.heise.de/news/l-f-Verraeterische-Gluehlampen-4784368.html


Dein Freund und Chat-Buddy: EncroChat von Polizei übernommen

Mit modifizierten Smartphones und einer eigenen Infrastruktur betrieb EncroChat einen Dienst, auf dem Nutzer Drogen- und Waffengeschäfte abwickelten. Anfang 2020 gelang die Infiltration der Infrastruktur und damit die Exfiltration der unverschlüsselten Kommunikation. Nachdem Mitte Juni die Kompromittierung auffiel, nahmen die Ermittler in mehreren europäischen Ländern umfangreiche Verhaftungen vor.

https://www.heise.de/news/Encrochat-geknackt-Schwerer-Schlag-gegen-organisierte-Kriminalitaet-4802419.html

https://en.wikipedia.org/wiki/EncroChat#References

https://www.vice.com/en_us/article/3aza95/how-police-took-over-encrochat-hacked

HiSolutions Research

Geh in den Keller, die Bären kommen: Bxx-hörden warnen vor Angriffen

BND, BfV und BSI haben eine Warnung vor gezielten Cyberangriffen unter TLP-Amber (Kenntnis nur wenn nötig) an alle KRITIS-Betreiber in den Sektoren Energie, Wasser und Telekommunikation sowie an ausgewählte Zulieferer und Partner veröffentlicht. Neben Verweisen auf US-amerikanische Dokumente, welche russische Akteure beschuldigen, enthält die Warnung auch konkrete IOCs (Indicators of Compromise) sowie Details zu TTPs (Tactics, Techniques and Procedures), wie etwa ausgenutzte Schwachstellen.

https://www.tagesschau.de/investigativ/br-recherche/hacker-angriff-infrastruktur-101.html

HiSolutions Research

Shameware – RagnarLocker-Angriff auf Energieunternehmen

Analysen von Sicherheitsforschern zufolge haben Angreifer 11 Mio. US-Dollar Lösegeld von einem europäischen Energieriesen gefordert, sonst würden gestohlene Unternehmensdokumente herausgegeben. Die Gruppe, welche die RagnarLocker-Malware verwendet, scheint die in Lissabon ansässige Gruppe Energias de Portugal (EDP, 11.000 Mitarbeiter, Jahresumsatz gut 3,3 Mrd. Euro) ins Visier genommen zu haben. Diese unter dem Begriff „Shameware“ bekannte Erpressungsvariante geht in der Hebelwirkung über einfache Verschlüsselung von Daten hinaus.

https://www.infosecurity-magazine.com/news/energy-giant-edp-hit-10-million

Ebenfalls veröffentlicht wurden Daten der Stadtwerke Ludwigshafen, welche sich im Darknet wiederfanden.

https://www.golem.de/news/nach-hack-daten-von-stadtwerken-ludwigshafen-im-darknet-veroeffentlicht-2005-148484.html