Ransomware macht Jagd auf ungepatchte Microsoft Exchange-Server

Von Nadine Juliana Dressler am 30.05.2021 13:45 Uhr
1 Kommentare
Die schwerwiegende Si­cher­heits­lü­cke in Microsoft Exchange-Servern, die weltweit zigtausende Nutzer angreifbar gemacht hat, wird nun auch von einem neuen Erpressungstrojanern ausgenutzt. Das Problem ist, dass viele Unternehmen noch nicht gehandelt haben.

Die neue Ransomware "Epsilon Red" macht laut einem Bericht von Bleeping Computer aktuell gezielte Jagd auf ungepatchte Microsoft Exchange-Server. Der neue Erpressungstrojaner nutzt Schwachstellen in Microsoft Exchange-Servern aus, um Rechner im Netzwerk zu verschlüsseln.

Angriff auf verwundbare Microsoft Exchange-Server

Das Team des Cybersecurity-Unternehmens Sophos entdeckten die neue Ransomware vor Kurzem bei der Untersuchung eines Angriffs auf ein größeres US-amerikanisches Unternehmen aus dem Bereich des Gastgewerbes. Die Angreifer haben möglicherweise die ProxyLogon-Schwachstellen ausgenutzt, um Rechner im Netzwerk zu erreichen.

Oft gehört - nie genutzt: Schutzmaßnahmen im Internet
Infografik Oft gehört - nie genutzt: Schutzmaßnahmen im Internet

Die ProxyLogon-Fehler wurden weithin bekannt, da Hacker die Gelegenheit nutzten und begannen, das Internet nach anfälligen Geräten zu durchsuchen und die Systeme zu kompromittieren. Weltweit wurde dabei von Behörden auf das Sicherheitsproblem aufmerksam gemacht. Das Bundesamt für Sicherheit in der In­for­ma­tions­tech­nik (BSI) hatte im März eine Warnung veröffentlicht. Da hieß es: "Die La­ge ist ernst. Wir haben Tausende offene Systeme in Deutschland, die nicht gesichert wur­den und Angreifern immer noch offenstehen." Viel hat sich seither aber dennoch nicht getan, viele Unternehmen haben ihre Server nicht aktualisiert.

Nicht Jeder nimmt das Problem ernst

Rund 92 Prozent der anfälligen Microsoft Exchange-Server haben das Update laut Microsoft schon bezogen. Der Rest steht nun im Visier von Cyberkriminellen. Der neu entdeckte Trojaner hat dabei einige Tricks drauf - er deaktiviert unter anderem Windows Defender, um unbemerkt Schaden anrichten zu können.

Epsilon Red ist in Golang (Go) geschrieben und verfügt über eine Reihe einzigartiger PowerShell-Skripte, die den Boden für die Dateiverschlüsselungsroutine vorbereiten und jeweils einen bestimmten Zweck erfüllen.

Unter anderem werden:

  • Prozesse und Dienste für Sicherheitstools, Datenbanken, Backup-Programme, Office-Apps, E-Mail-Clients gestoppt
  • Volume Shadow Copies gelöscht
  • SAM-Datei (Security Account Manager), die Passwort-Hashes enthalten gestohlen
  • Windows-Ereignisprotokolle gelöscht
  • Windows Defender deaktiviert
  • Sicherheits-Tools deinstalliert (von Sophos, Trend Micro, Cylance, MalwareBytes, Sentinel One, Vipre, Webroot)

Nachdem sie in das Netzwerk eingedrungen sind, erreichen die Hacker die Rechner über das Remote Desktop Protokol und verwenden Windows Management Instrumentation, um Software zu installieren und PowerShell-Skripte auszuführen, die schließlich die Epsilon Red-Ransomware bereitstellen und das angegriffene System verschlüsseln.

Sophos-Forscher stellten fest, dass der Bedrohungsakteur auch eine Kopie von Remote Utilities - einer kommerziellen Software für Remote-Desktop-Operationen - und den Tor-Browser installiert. Dieser Schritt soll sicherstellen, dass sie immer noch eine Tür offen haben, wenn sie den Zugriff über den ursprünglichen Eintrittspunkt verlieren.

Download RogueKiller - Malware aufspüren & entfernen
Download Malwarebytes Premium, Schutz vor Schadsoftware
Siehe auch:
1 Kommentare lesen & antworten
Jede Woche neu: Top-News per E-Mail
Desktop-Version anzeigen
Hoch © 2021 WinFuture Impressum Datenschutz Cookies