Neue Ransomware wird verstärkt gegen Fortinet-Server eingesetzt

9. April 2021 um 12:47
image

Swisscom und andere warnen schon länger vor "Cring". Nun häufen sich Angriffe auf die Industrie über eine Schwachstelle in Fortigate-VPN-Servern.

Eine seit längerem bekannte Sicherheitslücke in Fortinets Fortigate-VPN-Servern wird aktiv ausgenutzt. Die Schwachstelle wurde 2019 veröffentlicht und ein Patch ausgeliefert, aber offenbar wurden längst nicht alle Geräte aktualisiert. Laut einem Bericht der Cybersecurity-Firma Kaspersky zirkulieren seit Herbst 2020 Angebote für den Verkauf einer vorgefertigten Liste mit IP-Adressen von anfälligen Geräten in Darkweb-Foren.
"Mit einer solchen IP-Adresse kann ein nicht authentifizierter Angreifer über das Internet eine Verbindung zur Appliance herstellen und remote auf die Sitzungsdatei zugreifen, die einen Benutzernamen und ein Kennwort enthält, die im Klartext gespeichert sind", erklären die Forscher von Kaspersky. Es handelt sich um die Schwachstelle "CVE-2018-13379" bei im Internet exponierten Fortigate SSL-VPN-Servern.
Vor allem eine neue Ransomware namens "Cring" und die dahinterstehende Gang würden die Schwachstelle ausnutzen. Erstmals auf Cring aufmerksam gemacht hatten im Januar 2021 der Sicherheitsforscher Amigo_A sowie das CSIRT-Team von Swisscom.
"Nachdem die Akteure den ersten Zugang hergestellt haben, legen sie ein angepasstes Mimikatz-Sample ab, gefolgt von Cobaltstrike. Die Ransomware wird dann über Certutill heruntergeladen", erklärte Swisscom zum Vorgehen der Angreifer.
Cring werde nun verstärkt eingesetzt, meldet Kaspersky. Bisherige Opfer seien hauptsächlich Industrieunternehmen in Europa. In mindestens einem Fall habe Cring die vorübergehende Schliessung einer Produktionsstätte verursacht.
"Verschiedene Details des Angriffs weisen darauf hin, dass die Angreifer die Infrastruktur der Zielorganisation sorgfältig analysiert und ihre eigene Infrastruktur und ihr eigenes Toolset auf der Grundlage der in der Aufklärungsphase gesammelten Informationen vorbereitet haben", sagt Vyacheslav Kopeytsev, CERT-Experte von Kaspersky.
Gegenüber 'Bleeping Computer' erklärte Fortinet: "Die Sicherheit unserer Kunden hat für uns oberste Priorität. CVE-2018-13379 ist eine alte Sicherheitsanfälligkeit, die im Mai 2019 behoben wurde. Wenn Kunden dies nicht getan haben, fordern wir sie dringend auf, das Upgrade und die Schadensbegrenzungen sofort umzusetzen."

Loading

Mehr zum Thema

image

Adval-Tech-CEO zu Cyberangriff: "Wir haben nicht verhandelt"

CEO Volker Brielmann beschreibt den Ransomware-Angriff auf seine Firma. "Zum Glück" gab es einen Notfallplan, sagte er gegenüber der 'Berner Zeitung'.

publiziert am 2.4.2025
image

Google will Gmail-Verschlüsselung für Geschäftskunden vereinfachen

Das neue Feature für Businesskunden soll die mühsame Zertifikatsverwaltung unnötig machen.

publiziert am 2.4.2025
image

Das bekannte Problem der alten Schwachstellen

Teils jahrelang bekannte Lücken bleiben ungepatcht und damit wichtiges Einfallstor für Cyberkriminelle. Ein Report zeigt die am häufigsten ausgenutzten Schwachstellen.

publiziert am 1.4.2025
image

Hacker bietet Daten von Check Point zum Kauf an

Das Security-Unternehmen bestätigt einen Breach. Dieser sei allerdings ein "altes Ereignis" und sehr beschränkt gewesen. Es bestehe keine Bedrohung für seine Kunden.

publiziert am 1.4.2025