Neue Ransomware wird verstärkt gegen Fortinet-Server eingesetzt

9. April 2021 um 12:47
image

Swisscom und andere warnen schon länger vor "Cring". Nun häufen sich Angriffe auf die Industrie über eine Schwachstelle in Fortigate-VPN-Servern.

Eine seit längerem bekannte Sicherheitslücke in Fortinets Fortigate-VPN-Servern wird aktiv ausgenutzt. Die Schwachstelle wurde 2019 veröffentlicht und ein Patch ausgeliefert, aber offenbar wurden längst nicht alle Geräte aktualisiert. Laut einem Bericht der Cybersecurity-Firma Kaspersky zirkulieren seit Herbst 2020 Angebote für den Verkauf einer vorgefertigten Liste mit IP-Adressen von anfälligen Geräten in Darkweb-Foren.
"Mit einer solchen IP-Adresse kann ein nicht authentifizierter Angreifer über das Internet eine Verbindung zur Appliance herstellen und remote auf die Sitzungsdatei zugreifen, die einen Benutzernamen und ein Kennwort enthält, die im Klartext gespeichert sind", erklären die Forscher von Kaspersky. Es handelt sich um die Schwachstelle "CVE-2018-13379" bei im Internet exponierten Fortigate SSL-VPN-Servern.
Vor allem eine neue Ransomware namens "Cring" und die dahinterstehende Gang würden die Schwachstelle ausnutzen. Erstmals auf Cring aufmerksam gemacht hatten im Januar 2021 der Sicherheitsforscher Amigo_A sowie das CSIRT-Team von Swisscom.
"Nachdem die Akteure den ersten Zugang hergestellt haben, legen sie ein angepasstes Mimikatz-Sample ab, gefolgt von Cobaltstrike. Die Ransomware wird dann über Certutill heruntergeladen", erklärte Swisscom zum Vorgehen der Angreifer.
Cring werde nun verstärkt eingesetzt, meldet Kaspersky. Bisherige Opfer seien hauptsächlich Industrieunternehmen in Europa. In mindestens einem Fall habe Cring die vorübergehende Schliessung einer Produktionsstätte verursacht.
"Verschiedene Details des Angriffs weisen darauf hin, dass die Angreifer die Infrastruktur der Zielorganisation sorgfältig analysiert und ihre eigene Infrastruktur und ihr eigenes Toolset auf der Grundlage der in der Aufklärungsphase gesammelten Informationen vorbereitet haben", sagt Vyacheslav Kopeytsev, CERT-Experte von Kaspersky.
Gegenüber 'Bleeping Computer' erklärte Fortinet: "Die Sicherheit unserer Kunden hat für uns oberste Priorität. CVE-2018-13379 ist eine alte Sicherheitsanfälligkeit, die im Mai 2019 behoben wurde. Wenn Kunden dies nicht getan haben, fordern wir sie dringend auf, das Upgrade und die Schadensbegrenzungen sofort umzusetzen."

Loading

Mehr erfahren

Mehr zum Thema

image

Windows-Sicherheitslücke stand lange offen

Hacker konnten die Lücke wohl einige Wochen oder sogar Monate ausnützen, bevor ein Patch veröffentlicht wurde.

publiziert am 14.6.2024
image

DDoS-Attacken wurden abgewehrt

Das Bundesamt für Cybersicherheit hat weitere Angriffe festgestellt.

publiziert am 14.6.2024
image

Podcast: Der beste Freund der Insider-Bedrohung ist die Leugnung ihrer Existenz

Bei Cyberbedrohungen denkt man oft nur an Angriffe von Aussen. Was aber ist mit Insidern, die ein System von Innen heraus angreifen? Darüber debattiert Doron Zimmermann, Experte für Cyberbedrohungen und Security Threat Intelligence, mit Chefredaktor Reto Vogt.

publiziert am 14.6.2024
image

Zuger Krypto-Firma Lykke von Cyberangriff getroffen

Das Unternehmen hat den Handel über seine Plattform ausgesetzt. Bei einem Cyberangriff sind Assets im Wert von mehr als 22 Millionen Dollar gestohlen worden.

publiziert am 13.6.2024