Die Sicherheitslücke CVE-2023-27532 (CVSS score: 7.5) in Veeam Backup & Replication wurde zwar im März 2023 gepatcht, wird aber immer noch aktiv von einer neuen Ransomware-Gruppe ausgenutzt: EstateRansomware. Diese neue Bedrohung wurde im April 2024 identifiziert. Eine aktuelle Analyse der Cybersicherheitsforscher der Group-IB, zeigt, dass diese Gruppe schlafende VPN-Konten und fortgeschrittene Exploit-Techniken nutzt, um in ungesicherte Netzwerke einzudringen. Diese Schwachstelle wurde von Veeam bereits für die Softwareversionen 12/11a und höher behoben. Wer dies noch nicht getan hat, sollte dringend ein Update durchführen, um nicht zu riskieren, dass seine Veeam-Backups verschlüsselt und einer Lösegeldforderung ausgesetzt werden.
Erstzugriff und Kompromittierung des Netzwerks
Der Angriff von EstateRansomware begann im April 2024, als die Cyberkriminellen ein ruhendes VPN-Konto namens ‚Acc1‘ ausnutzten. Die Angreifer griffen zunächst über dieses schlafende Konto über den SSL-VPN-Dienst der FortiGate-Firewall auf das Netzwerk zu. Nach Brute-Force-Versuchen am VPN wurde ein erfolgreicher Login zu einer entfernten IP-Adresse zurückverfolgt, wodurch sich die Angreifer über RDP (Remote Desktop Protocol) mit dem Failover-Server verbinden konnten. Ein erfolgreicher Login wurde von der IP-Adresse 149.28.106[.]252 aufgezeichnet.
Installation der Backdoor
Die Angreifer installierten eine Backdoor mit dem Namen „svchost.exe“ auf dem Failover-Server, um einen persistenten Zugriff aufrechtzuerhalten. Die Backdoor wurde so konfiguriert, dass sie täglich über einen geplanten Task ausgeführt wurde, und verband sich über einen ungewöhnlichen Port, den Port 30001, mit einem Command-and-Control-Server. Diese Technik ermöglichte es den Angreifern, die Wahrscheinlichkeit einer Entdeckung durch die vorhandenen Sicherheitssysteme zu minimieren und auch nach dem Abbruch ihrer ursprünglichen VPN-Verbindung mit dem Netzwerk des Opfers verbunden zu bleiben.
„Eine weitere Analyse von ’svchost.exe‘ bestätigte, dass 77.238.245[.]11:30001 als Kommando- und Kontrolladresse (C2) fungiert. Diese Backdoor baut einen Reverse-Tunnel auf, der das HTTP-Protokoll verwendet, um eine Verbindung zum C2-Server herzustellen, wodurch der Bedroher aus der Ferne Befehle auf dem Failover-Server ausführen kann“, so die Forscher von Group-IB im Detail.
Ablauf des Angriffs :
- Ausnutzung der Schwachstelle CVE-2023-27532: Diese kritische Schwachstelle in Veeam Backup & Replication war das erste Ziel.
- Versuch einer VPNBrute Force über das schlafende Konto „Acc1“.
- Erfolgreiche VPN-Verbindung unter Verwendung von „Acc1“ zwischen der Firewall und dem Failover-Server über RDP, ohne dass zusätzliche Anmeldeinformationen erforderlich waren.
- Einsatz einer persistenten Backdoor mit dem Namen „svchost.exe“ und Einrichtung einer geplanten Aufgabe, um ihre tägliche Ausführung sicherzustellen.
- Ausführung der Ransomware, die Nutzlast von EstateRansomware wird bereitgestellt und verschlüsselt die Daten vor der Lösegeldforderung.
Dieses anfängliche Eindringen markiert den Beginn ihres Angriffs und ermöglicht den Zugriff auf kritische Systeme. Dieser Vorfall verdeutlicht die Notwendigkeit, ruhende Konten effektiv zu verwalten – ein inaktives Konto sollte immer deaktiviert werden – und den Netzwerkzugang zu überwachen, um Eindringlinge zu verhindern.
Vorbereitung des Angriffs: die verwendeten Werkzeuge und Techniken
Durch die Aktivierung der gespeicherten Prozedur xp_cmdshell auf dem Backup-Server wurde ein bösartiges Benutzerkonto mit dem Namen „VeeamBkp“ erstellt. Um ihren Angriff vorzubereiten und die Schwachstelle CVE-2023-27532 auszunutzen, setzten die Cyberkriminellen von EstateRansomware über dieses neu erstellte Konto eine Reihe von Tools ein, um das Zielnetzwerk zu analysieren und zu kartografieren. Zu diesen Tools gehörten SoftPerfect Netscan, das verwendet wurde, um aktive Systeme und deren Verbindungen zu identifizieren, sowie verschiedene Tools zur Wiederherstellung von Passwörtern von Nirsoft.
Dann wurden diese Tools verwendet , „um das Netzwerk zu scannen und Informationen wie lebende Hosts, offene Ports, Dateifreigaben und Anmeldeinformationen zu sammeln. Eine zusätzliche Sammlung von Anmeldeinformationen wurde auf dem Backup-Server über das neu erstellte Konto ‚VeeamBkp‘ durchgeführt. Mit den gesammelten Informationen führte der Bedrohungsakteur über RDP einen lateralen Pivot zum Active Directory (AD)-Server durch, um das Netzwerk weiter zu analysieren“,so die Forscher von Group-IB .
Mithilfe von AdFind wurden Anmeldeinformationen und Details über die Benutzer gesammelt. Diese sorgfältige Aufklärungsphase war entscheidend, um die Struktur und die Schwachstellen des Netzwerks zu verstehen und so den Zugang zu kritischen Systemen zu erleichtern. Diese Vorbereitungen zeigen, wie gut die Angreifer organisiert und entschlossen waren, ihren Angriff erfolgreich durchzuführen.
„Vom AD-Server wurde AdFind, ein Kommandozeilen-Abfragetool, das verwendet werden kann, um Informationen aus dem Active Directory zu sammeln, von „hxxp://www[.]joeware[.]net/freetools/tools/adfind/“ heruntergeladen und vom Urheber der Bedrohung verwendet, um die Benutzer der Domain zu zählen. “
Group-IB.
Der Angriff in Aktion: Einsatzphasen
Der EstateRansomware-Angriff wurde intensiviert, nachdem der erste Zugriff gesichert war. Die Angreifer führten eine laterale Verschiebung vom AD-Server auf alle anderen Server und Arbeitsstationen durch, wobei sie kompromittierte Domänenkonten verwendeten. Nachdem sie genügend Informationen gesammelt hatten, deaktivierten die Angreifer Windows Defender mithilfe von DC.exe und setzten die Ransomware EstateRansomware (LB3.exe) auf den kompromittierten Hosts ein. Die Ransomware verschlüsselte die Daten und hinterließ eine Lösegeldforderung, während sie die Windows-Ereignisprotokolle löschte, um die Bemühungen zur Reaktion auf Vorfälle zu behindern. Diese Abfolge von Aktionen zeigt die Präzision und Effizienz, mit der Cyberkriminelle ihr Ziel erreichen.
Einsatz und Ablauf des Angriffs :
- Einspeisung der Ransomware in kritische Systeme.
- Automatische Verbreitung der Malware über das Netzwerk.
- Löschen von Datensicherungen, um die Wiederherstellung zu verhindern.
Abschließend noch einige Empfehlungen: Es ist unerlässlich, die Konten regelmäßig zu überwachen und zu prüfen und dabei alle ruhenden Konten zu löschen oder zu deaktivieren, um unbefugten Zugriff zu verhindern. Die Implementierung der Multifaktor-Authentifizierung (MFA) für VPNs und andere Fernzugriffsdienste ist ebenfalls unerlässlich. Führen Sie eine Patch-Management-Richtlinie ein, um sicherzustellen, dass Ihre Firmware und Software mit den neuesten Sicherheitspatches aktualisiert ist, was Sie vor bekannten Schwachstellen schützt. Wie wir bereits im Juni gesehen haben, ist Veeam sehr reaktionsschnell beim Patchen kritischer CVE-Lücken. Die Segmentierung kritischer Systeme und die Anwendung strenger Firewall-Regeln hilft auch dabei, Seitwärtsbewegungen innerhalb des Netzwerks einzuschränken. Denken Sie auch daran, unnötige RDP-Zugriffe zu deaktivieren und sie auf bestimmte, vertrauenswürdige IP-Adressen zu beschränken. Implementieren Sie eine Anwendungskontrolle auf den Hosts, um die Ausführung nicht autorisierter Programme zu verhindern, und stellen Sie sicher, dass nur zugelassene Sicherheitsanwendungen verwendet werden. Wenn Sie eine Lösung für die Erkennung und Reaktion von Endpunkten (EDR) implementieren, können Sie verdächtige Aktivitäten schneller erkennen und darauf reagieren.
Sollten Sie trotz all dieser Vorsichtsmaßnahmen dennoch Opfer eines Ransomware-Angriffs werden, zögern Sie nicht, die Dienste von SOS Ransomware in Anspruch zu nehmen. Unsere Experten können Ihnen helfen , Ihre verschlüsselten Daten wiederzufinden und so die Kontinuität Ihrer Geschäftstätigkeit zu gewährleisten. Schützen Sie Ihr Unternehmen, indem Sie unsere Dienste in Anspruch nehmen, die auf die Wiederherstellung von Daten nach einem Ransomware-Angriff spezialisiert sind.
Für weitere Einzelheiten verweisen wir auf die Originalstudie (auf Englisch) :
