Die schwerwiegende Sicherheitslücke in Microsoft Exchange-Servern, die weltweit zigtausende Nutzer angreifbar gemacht hat, wird nun auch von einem neuen Erpressungstrojanern ausgenutzt. Das Problem ist, dass viele Unternehmen noch nicht gehandelt haben.
Die neue Ransomware "Epsilon Red" macht laut einem Bericht von Bleeping Computer aktuell gezielte Jagd auf ungepatchte Microsoft Exchange-Server. Der neue Erpressungstrojaner nutzt Schwachstellen in Microsoft Exchange-Servern aus, um Rechner im Netzwerk zu verschlüsseln.
Angriff auf verwundbare Microsoft Exchange-Server
Das Team des Cybersecurity-Unternehmens Sophos entdeckten die neue Ransomware vor Kurzem bei der Untersuchung eines Angriffs auf ein größeres US-amerikanisches Unternehmen aus dem Bereich des Gastgewerbes. Die Angreifer haben möglicherweise die ProxyLogon-Schwachstellen ausgenutzt, um Rechner im Netzwerk zu erreichen.
Die ProxyLogon-Fehler wurden weithin bekannt, da Hacker die Gelegenheit nutzten und begannen, das Internet nach anfälligen Geräten zu durchsuchen und die Systeme zu kompromittieren. Weltweit wurde dabei von Behörden auf das Sicherheitsproblem aufmerksam gemacht. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hatte im März eine Warnung veröffentlicht. Da hieß es: "Die Lage ist ernst. Wir haben Tausende offene Systeme in Deutschland, die nicht gesichert wurden und Angreifern immer noch offenstehen." Viel hat sich seither aber dennoch nicht getan, viele Unternehmen haben ihre Server nicht aktualisiert.
Nicht Jeder nimmt das Problem ernst
Rund 92 Prozent der anfälligen Microsoft Exchange-Server haben das Update laut Microsoft schon bezogen. Der Rest steht nun im Visier von Cyberkriminellen. Der neu entdeckte Trojaner hat dabei einige Tricks drauf - er deaktiviert unter anderem Windows Defender, um unbemerkt Schaden anrichten zu können.
Epsilon Red ist in Golang (Go) geschrieben und verfügt über eine Reihe einzigartiger PowerShell-Skripte, die den Boden für die Dateiverschlüsselungsroutine vorbereiten und jeweils einen bestimmten Zweck erfüllen.
Unter anderem werden:
Prozesse und Dienste für Sicherheitstools, Datenbanken, Backup-Programme, Office-Apps, E-Mail-Clients gestoppt
Volume Shadow Copies gelöscht
SAM-Datei (Security Account Manager), die Passwort-Hashes enthalten gestohlen
Nachdem sie in das Netzwerk eingedrungen sind, erreichen die Hacker die Rechner über das Remote Desktop Protokol und verwenden Windows Management Instrumentation, um Software zu installieren und PowerShell-Skripte auszuführen, die schließlich die Epsilon Red-Ransomware bereitstellen und das angegriffene System verschlüsseln.
Sophos-Forscher stellten fest, dass der Bedrohungsakteur auch eine Kopie von Remote Utilities - einer kommerziellen Software für Remote-Desktop-Operationen - und den Tor-Browser installiert. Dieser Schritt soll sicherstellen, dass sie immer noch eine Tür offen haben, wenn sie den Zugriff über den ursprünglichen Eintrittspunkt verlieren.
Anmelden
Die schwerwiegende Sicherheitslücke in Microsoft Exchange-Servern, die weltweit zigtausende Nutzer angreifbar gemacht hat, wird nun auch von einem neuen Erpressungstrojanern ausgenutzt. Das Problem ist, dass viele Unternehmen noch nicht gehandelt haben.
Die neue Ransomware "Epsilon Red" macht laut einem Bericht von Bleeping Computer aktuell gezielte Jagd auf ungepatchte Microsoft Exchange-Server. Der neue Erpressungstrojaner nutzt Schwachstellen in Microsoft Exchange-Servern aus, um Rechner im Netzwerk zu verschlüsseln.
