Categories: SicherheitVirus

Hacker verteilen Ransomware über Sicherheitslücke in Citrix-Servern

Forscher von FireEye und Under The Breach haben bestätigt, dass Hackergruppen die Zero-Day-Lücke in Citrix-Produkten inzwischen ausnutzen, um in Firmennetzwerke einzudringen und dort Ransomware zu installieren. Zwar liegen inzwischen für alle betroffenen Produkte des Unternehmens Sicherheitspatches vor – offenbar wurden sie aber noch nicht flächendeckend installiert.

Öffentlich bekannt ist die Zero-Day-Lücke mit der Kennung CVE-2019-19781 schon seit kurz vor Weihnachten. Waren die technischen Details anfänglich nur wenigen eingeweihten Sicherheitsforschern bekannt, sickerte Anfang des Jahres Beispielcode durch, der Hackern die Entwicklung von Schadsoftware erlaubte. Inzwischen wurde die Malware offenbar weiterentwickelt, sodass sich mit ihr Erpressersoftware einschleusen lässt.

Die ersten Patches für Citrix ADC und Citrix Gateway sind seit 19. Januar verfügbar. Die restlichen Updates folgten am 22., 23. und 24. Januar. Auch Citrix SD-WAN WANOP wurde inzwischen gepatcht. Bis dahin war lediglich eine Behelfslösung verfügbar, die in Einzelfällen keinen ausreichend Schutz vor Angriffen bieten soll.

Eine der Gruppen, die sich der Zero-Day-Lücke angenommen hat, ist den Forschern zufolge die Ransomware-Gang REvil. „Ich habe die Dateien der REvil-Bande untersucht, die von Gedia.com online gestellt wurden, nachdem das Unternehmen sich weigerte, die Lösegeldforderung zu bezahlen“, sagten Sicherheitsforscher von Under the Breach. „Das Interessante, was ich entdeckt habe, ist, dass sie Gedia offensichtlich über den Citrix-Exploit gehackt haben.“

FireEye beobachtete wiederum seit 16. Januar Attacken auf Citrix-Produkte, die ebenfalls das Ziel haben, eine Ransomware einzuschleusen. Allerdings soll es sich um die Erpressersoftware Ragnarok handeln. Deren Hintermänner fordern für die Freigabe verschlüsselter Dateien ein Bitcoin pro Rechner oder einen Pauschalbetrag von fünf Bitcoin für alle Rechner in einem Netzwerk – wobei ein Bitcoin derzeit rund 7800 Euro entspricht.

Allerdings scheint die Zahl der gepatchten Citrix-Geräte stetig zuzunehmen. War man im Dezember noch von rund 80.000 angreifbaren Geräten ausgegangen, soll sich die Zahl inzwischen auf rund 11.000 reduziert haben.

Citrix und FireEye bieten zudem ein gemeinsam entwickeltes Tool an, mit dem Besitzer von Citrix-Servern prüfen können, ob ihre Appliances bereits gehackt wurden. Das Tool sollte vor der Installation der Patches angewandt werden.

Under The Breach warnt zudem vor einer weiteren Bedrohung für Besitzer ungepatchter Citrix-Produkte. Cyberkriminelle versuchen ebenfalls, die Kontrolle über Citrix-Produkte zu erhalten, um die Zugänge in Hacker-Foren anzubieten.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

MacOS und Ransomware

Apple-Rechner gelten als besonders sicher. Angesichts der Bedrohung durch Ransomware bröckelt dieser Ruf, denn MacOS…

18 Stunden ago

Vier Jahre DSGVO

Zum vierten Jahrestag der Datenschutzgrundverordnung (DSGVO) erklärt Herbert Abben, Director DACH beim SANS Institute, dass…

18 Stunden ago

Microsoft: Virtuelle Entwickler-Workstation Dev Box

Microsoft bereitet einen maßgeschneiderten Virtualisierungs-Service in der Cloud für Entwickler vor namens Microsoft Dev Box,…

19 Stunden ago

Windows 11 bereit für Unternehmenseinsatz

Microsoft sagt, dass Windows 11 einen wichtigen Meilenstein erreicht hat und bereit für den Einsatz…

3 Tagen ago

Nachhaltigkeit verbessert Geschäftsergebnis

Der Einsatz für Umweltschutz lohnt sich finanziell. Gesteigerte Effizienz, Innovation und Umsatzwachstum gehören zu den…

3 Tagen ago

Der Linux-Kernel 5.18 ist da

Der Linux-Kernel 5.18 enthält einen Intel-Treiber, der es dem Chip-Hersteller ermöglichen könnte, neue Silizium-Funktionen zu…

3 Tagen ago