Ransomware macht Jagd auf ungepatchte Microsoft Exchange-Server
Die neue Ransomware "Epsilon Red" macht laut einem Bericht von Bleeping Computer aktuell gezielte Jagd auf ungepatchte Microsoft Exchange-Server. Der neue Erpressungstrojaner nutzt Schwachstellen in Microsoft Exchange-Servern aus, um Rechner im Netzwerk zu verschlüsseln.
Die ProxyLogon-Fehler wurden weithin bekannt, da Hacker die Gelegenheit nutzten und begannen, das Internet nach anfälligen Geräten zu durchsuchen und die Systeme zu kompromittieren. Weltweit wurde dabei von Behörden auf das Sicherheitsproblem aufmerksam gemacht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte im März eine Warnung veröffentlicht. Da hieß es: "Die Lage ist ernst. Wir haben Tausende offene Systeme in Deutschland, die nicht gesichert wurden und Angreifern immer noch offenstehen." Viel hat sich seither aber dennoch nicht getan, viele Unternehmen haben ihre Server nicht aktualisiert.
Epsilon Red ist in Golang (Go) geschrieben und verfügt über eine Reihe einzigartiger PowerShell-Skripte, die den Boden für die Dateiverschlüsselungsroutine vorbereiten und jeweils einen bestimmten Zweck erfüllen.
Nachdem sie in das Netzwerk eingedrungen sind, erreichen die Hacker die Rechner über das Remote Desktop Protokol und verwenden Windows Management Instrumentation, um Software zu installieren und PowerShell-Skripte auszuführen, die schließlich die Epsilon Red-Ransomware bereitstellen und das angegriffene System verschlüsseln.
Sophos-Forscher stellten fest, dass der Bedrohungsakteur auch eine Kopie von Remote Utilities - einer kommerziellen Software für Remote-Desktop-Operationen - und den Tor-Browser installiert. Dieser Schritt soll sicherstellen, dass sie immer noch eine Tür offen haben, wenn sie den Zugriff über den ursprünglichen Eintrittspunkt verlieren.
Download RogueKiller - Malware aufspüren & entfernen Download Malwarebytes Premium, Schutz vor Schadsoftware Siehe auch:
Angriff auf verwundbare Microsoft Exchange-Server
Das Team des Cybersecurity-Unternehmens Sophos entdeckten die neue Ransomware vor Kurzem bei der Untersuchung eines Angriffs auf ein größeres US-amerikanisches Unternehmen aus dem Bereich des Gastgewerbes. Die Angreifer haben möglicherweise die ProxyLogon-Schwachstellen ausgenutzt, um Rechner im Netzwerk zu erreichen. Infografik Oft gehört - nie genutzt: Schutzmaßnahmen im Internet
Die ProxyLogon-Fehler wurden weithin bekannt, da Hacker die Gelegenheit nutzten und begannen, das Internet nach anfälligen Geräten zu durchsuchen und die Systeme zu kompromittieren. Weltweit wurde dabei von Behörden auf das Sicherheitsproblem aufmerksam gemacht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte im März eine Warnung veröffentlicht. Da hieß es: "Die Lage ist ernst. Wir haben Tausende offene Systeme in Deutschland, die nicht gesichert wurden und Angreifern immer noch offenstehen." Viel hat sich seither aber dennoch nicht getan, viele Unternehmen haben ihre Server nicht aktualisiert.
Nicht Jeder nimmt das Problem ernst
Rund 92 Prozent der anfälligen Microsoft Exchange-Server haben das Update laut Microsoft schon bezogen. Der Rest steht nun im Visier von Cyberkriminellen. Der neu entdeckte Trojaner hat dabei einige Tricks drauf - er deaktiviert unter anderem Windows Defender, um unbemerkt Schaden anrichten zu können.Epsilon Red ist in Golang (Go) geschrieben und verfügt über eine Reihe einzigartiger PowerShell-Skripte, die den Boden für die Dateiverschlüsselungsroutine vorbereiten und jeweils einen bestimmten Zweck erfüllen.
Unter anderem werden:
- Prozesse und Dienste für Sicherheitstools, Datenbanken, Backup-Programme, Office-Apps, E-Mail-Clients gestoppt
- Volume Shadow Copies gelöscht
- SAM-Datei (Security Account Manager), die Passwort-Hashes enthalten gestohlen
- Windows-Ereignisprotokolle gelöscht
- Windows Defender deaktiviert
- Sicherheits-Tools deinstalliert (von Sophos, Trend Micro, Cylance, MalwareBytes, Sentinel One, Vipre, Webroot)
Nachdem sie in das Netzwerk eingedrungen sind, erreichen die Hacker die Rechner über das Remote Desktop Protokol und verwenden Windows Management Instrumentation, um Software zu installieren und PowerShell-Skripte auszuführen, die schließlich die Epsilon Red-Ransomware bereitstellen und das angegriffene System verschlüsseln.
Sophos-Forscher stellten fest, dass der Bedrohungsakteur auch eine Kopie von Remote Utilities - einer kommerziellen Software für Remote-Desktop-Operationen - und den Tor-Browser installiert. Dieser Schritt soll sicherstellen, dass sie immer noch eine Tür offen haben, wenn sie den Zugriff über den ursprünglichen Eintrittspunkt verlieren.
Download RogueKiller - Malware aufspüren & entfernen Download Malwarebytes Premium, Schutz vor Schadsoftware Siehe auch:
- Exchange-Querdenker? - Zehntausende Systeme bleiben angreifbar
- Exchange-Exploit: Microsoft untersucht, wie Hacker an den Code kamen
- Microsofts MSRC-Team stellt Notfall-Tool für Exchange bereit
- Kritik an Microsoft: Hat der Konzern Exchange-Lücke lang verheimlicht?
- Angriff auf Microsoft Exchange entwickelt sich zur globalen Krise
Kommentar abgeben
Netiquette beachten!
Neueste Downloads
Video-Empfehlungen
Beliebt im Preisvergleich
- Windows:
Neue Nachrichten
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen