Warnung: Aktuelle Ransomware-Angriffe als Folge von Shitrix

Veröffentlicht Veröffentlicht in Advisories, Ransomware

Monate nach dem Auftauchen der kritischen Sicherheitslücke im Citrix Application Delivery Controller (ADC) und NetScaler Gateway (CVE-2019-19781, auch als “Shitrix“ bekannt) werden nun immer mehr Fälle bekannt, in denen die Lücke früh ausgenutzt, jedoch erst sehr viel später lukrativ verwendet wurde bzw. aktuell wird.

Unsere Incident Responder stellten dabei fest, dass im kritischen Zeitraum Anfang 2020 in einigen Fällen Backdoors installiert worden sind, welche nun, 8 Monate später, durch Ransomware-Angriffe aktiv ausgenutzt werden.

Details im HiSolutions Advisory von Folker Schmidt und Daniel Jedecke.

Warning: Current Ransomware Attacks As a Result of Shitrix

Veröffentlicht Veröffentlicht in Advisories, Ransomware

By Folker Schmidt and Daniel Jedecke

Months after the appearance of the critical vulnerability in Citrix Application Delivery Controller (ADC) and NetScaler Gateway (CVE-2019-19781, also known as „Shitrix“), more and more cases are now becoming known where the vulnerability was exploited very early on, but was not used for extortion until much later, and ongoing.

Our incident responders found that in a critical period in early 2020, backdoors were installed in some cases, which are actively exploited now, 8 months later, for ransomware attacks. In many cases, the attackers have not even bothered to adapt the known proofs-of-concept of the „Project Zero India“ group. In the cases known to us, the user „pwnpzi1337“ was created, which was used in the original PoC.

The subsequent steps of the attack are basically the same as they were before, network discovery, lateral movement within the network (for example using Dridex or Cobalt-Strike), data exfiltration, and later encryption of the data e.g. via DoppelPaymer.

However, there is a multitude of other conceivable malware variants on the market. Due to the current wave of attacks, every administrator and system administrator is strongly recommended to check their Citrix NetScaler systems in particular for possible new users or conspicuous network activity. A check of the folder /var/vpn/bookmark is definitely recommended, since the XML files smuggled in by the attacker can be found there. As a quick check for possible compromise, the instructions under http://deyda.net/index.php/en/2020/01/15/checklist-for-citrix-adc-cve-2019-19781 have proved to be helpful.

If there is any doubt about the integrity of the system, our forensic experts recommend rebuilding the system, which is the standard procedure for ransomware attacks. We are happy to refer to the recommendations of the German BSI (Federal Cyber Security Agency). Back in January 2020, the BSI issued a Citrix vulnerability warning (see CSW No. 2020-172597-1531, Version 1.5, 30.01.2020 and https://www.bsi.bund.de/DE/Presse/Pressemitteilungen/Presse2020/Citrix_Schwachstelle_160120.html), which contains, among other helpful bits, the following measures:

  • Disconnection from network of the compromised Citrix instance
  • Backup of the old Citrix instance (entire system, or at least the log files under /var/log/*)
  • Restart of Citrix instance with the latest build of the respective version branch and implementing the workaround (workaround recommendation when no patches were available yet)
  • Creation of new SSL/TLS certificates, recall of old SSL/TLS certificates
  • Resetting of all Windows Active Directory passwords if the Citrix user group cannot be restricted
  • Depending on the network connection, check the Windows domain for further compromises
  • If wildcard SSL certificates (*.example.com) were used on a compromised Citrix system, all other systems using the wildcard certificate must be taken into account in the certificate exchange mentioned above.

Citrix administrators should always subscribe to Citrix security bulletins with notices of new firmware versions to receive information about new firmware updates

The German Alliance for Cyber Security has recommended further action. These can be found at www.allianz-fuer-cybersicherheit.de/ACS/DE/Informationspool/Themen/Ransomware/ransomware_node.html.

It is also important to note in this case that the attackers could potentially move around the network unnoticed for months, which could jeopardize the integrity of backups that have been made long ago. Special care must be taken here when restoring affected systems.

At the beginning of August 2020, still around 200 vulnerable Citrix systems in Germany were accessible from the Internet (https://twitter.com/certbund/status/1291017699351580675). The number of systems that are secured but have already implemented a backdoor cannot be quantified.

Don’t cry for me: REvil erpresst Telecom Argentina

Veröffentlicht Veröffentlicht in News

Welche Auswirkung umfangreiche Berechtigungen innerhalb eines Netzwerks (z. B. als Domänenadministrator) in den Händen einer Schadsoftware haben können, erlebt derzeit Telecom Argentina nach einem Ransomware-Befall. Die Ransomware-Forderung stammt von der als REvil (oder Sodinokibi) bekannten Gruppe und zählt mit über 7,5 Millionen US-Dollar zu den höchsten Forderungen dieses Jahres. Methodisch verwendet die REvil-Gruppe populäre Schwachstellen wie „Shitrix“ oder in Pulse Secure VPNs, um über ungepatchte Gateways in Unternehmensnetzwerke einzudringen.

https://www.zdnet.com/article/ransomware-gang-demands-7-5-million-from-argentinian-isp/

3 – 2 – 1 – Gemeines! Ransomware-Gang versteigert Opferdaten

Veröffentlicht Veröffentlicht in News

Die kriminelle Ransomware-Gang hinter der Malware REvil (auch bekannt als „Sodin“ oder „Sodinokibi“) hat damit begonnen, gestohlene Daten in Auktionen zu verhökern. Dies stellt eine weitere Eskalation der Taktik dar, Opfer von Schadsoftware nicht nur mit Verschlüsselung der Daten zu erpressen, sondern auch mit Veröffentlichung im Darknet oder Internet. Anscheinend nagt der Corona-Shutdown nicht nur an den Finanzen der Opfer, sondern lässt auch die Täter die ihnen zur Verfügung stehenden Daumenschrauben anziehen.

In einer Auktion von Daten eines landwirtschaftlichen Unternehmens etwa wurde für drei Datenbanken mit mehr als 22.000 Dateien ein minimales Gebot von 5.000 US-Dollar in Kryptogeld festgesetzt. Eine Garantie, dass die Übeltäter die Daten nach Zahlung wirklich löschen, gibt es selbstverständlich auch hier nicht.

https://krebsonsecurity.com/2020/06/revil-ransomware-gang-starts-auctioning-victim-data/

Nicht gut, aber gemein(t): Fake-Rettungstool erpresst erneut

Veröffentlicht Veröffentlicht in News

Opfer von Verschlüsselungstrojanern reagieren erfahrungsgemäß oft panisch. Dies zeigt sich auch auf der HiSolutions-Response-Hotline immer wieder. Da wird schnell jeder Strohhalm ergriffen, der Rettung verspricht. Gemein nur, wenn manche Erpresser dies ausnutzen und ein „Entschlüsselungstool“ bereitstellen, welches die Daten einfach noch einmal verschlüsselt, anstatt sie wieder lesbar zu machen.

https://www.heise.de/news/Fieser-Fake-Ransomware-Entschluesselungstool-verschluesselt-Daten-nochmal-4776899.html

Total verraten: VirusTotal verpetzt Honda(-Angreifer)

Veröffentlicht Veröffentlicht in News

Ein Angreifer? Hondate! Wie viele Ransom-Viren Honda heimgesucht haben, ist ungewiss. Dass der Autohersteller Opfer einer Ransomware-Attacke wurde, welche zweitweise den weltweiten (IT-)Betrieb zum Erliegen brachte, war spätestens dann klar, als auf dem zu Google gehörenden Analysedienst VirusTotal eine verdächtige Datei hochgeladen wurde, die eine Referenz auf eine nur innerhalb des Honda-Netzes erreichbare Domain enthielt. Auch wenn es bequem ist Erkennungsraten von Schadsoftware auf die Art und Weise messen zu lassen: Angreifer wie Analysten unterschätzen häufig, wie viele sensitive Informationen an Dienste wie VirusTotal übermittelt werden.

https://techcrunch.com/2020/06/09/honda-ransomware-snake/

Keine Gnade trotz Corona: Ransomware-Angriff auf Gesundheitskonzern

Veröffentlicht Veröffentlicht in News

Auch der börsennotierte Gesundheitskonzern Fresenius ist Opfer eines Angriffs geworden. Die mutmaßliche Ransomware-Attacke hat zeitweise die Produktion eingeschränkt. Die Versorgung der Patientinnen und Patienten in den firmeneigenen Krankenhäusern und Dialyseeinrichtungen war jedoch durchgängig gewährleistet.

https://www.zdnet.de/88379488/ransomware-angriff-auf-fresenius

Ähnliche Ransomware-Fälle, darunter auch auf medizinische Einrichtungen und KRITIS-Unternehmen, häufen sich gerade. Auch auf der Incident-Response-Hotline von HiSolutions ist keinerlei Corona-bedingte Zurückhaltung bei Angriffen zu erkennen.

Shame On You If I Can Hack You – Star-Daten als Geisel

Veröffentlicht Veröffentlicht in News

Nicht nur Unternehmen und Behörden werden Opfer von Ransomware-Attacken, sondern auch Privatpersonen. Gerade dann, wenn sie bekannter sind. Angreifer haben einer Anwaltskanzlei mutmaßlich 756 GB an Daten über prominente Kunden gestohlen und fordern nun 21 Mio. US-Dollar Lösegeld. Ein Screenshot des Künstlervertrags von Madonna wurde bereits im Internet geleakt. Bei den Kriminellen scheint es sich um die gleiche Gruppe zu handeln, die zum Jahreswechsel die Reisebank Travelex heimgesucht hatte.

https://www.engadget.com/hackers-21-million-ransom-celebrity-lawyer-064511797.html

Bei Lady Gaga hat sich angeblich die geforderte Summe bereits verdoppelt:

https://www.spiegel.de/netzwelt/web/madonna-und-lady-gaga-betroffen-anwaltskanzlei-mit-promi-kunden-gehackt-a-9681af23-8326-4bec-980b-7ced75f01c1f

Neue Ransomware „CovidLock“

Veröffentlicht Veröffentlicht in News

Der Dienst DomainTools berichtet über eine Webseite, auf der eine „Corona-App“ heruntergeladen werden kann, die angeblich in Echtzeit den Coronavirus-Ausbruch trackt. Hinter dieser Android-App ist die neue Ransomware „CovidLock“ versteckt, welche als Screen-Lock-Angriff fungiert: Wenn das Handy einmal gesperrt ist, fordern die Angreifer innerhalb von 48 Stunden 100$ in Bitcoins. Sie drohen, andernfalls das Telefon komplett zu löschen und Inhalte aus Social-Media-Konten zu veröffentlichen.

https://www.domaintools.com/resources/blog/covidlock-mobile-coronavirus-tracking-app-coughs-up-ransomware

Runter vom Gas: Ransomware stoppt Pipeline

Veröffentlicht Veröffentlicht in News

Ransomware hat schon des Öfteren industrielle Anlagen lahmgelegt: Von Containerverladung bis zur Schokoladenproduktion: Überall, wo komplexe verbundene IT-Systeme im Einsatz sind, gab es bereits Opfer. Bisher weitgehend verschont geblieben sind die Automatisierungsbereiche von kritischen Infrastrukturen wie Wasser oder Energie. Nun hat es einen Gasbetreiber in den USA getroffen: Über Spearphishing in die Office-IT konnte der Angriff auf die – in der hehren Theorie stark absegmentierte – OT (Steuerungsstechnik) übergreifen, sodass eine Pipeline zwei Tage lang stillstand. Nicht betroffen waren angeblich die Steuerungsanlagen. Die Täter konnten wohl in diesem Fall (noch) keine Prozesse manipulieren.

https://www.spiegel.de/netzwelt/web/ransomware-zwingt-pipeline-betreiber-zu-zwangspause-a-07f7f69f-e251-4363-b93a-9528d02f828c