Alarmierende Zunahme von Ransomware-Attacken auf Sonicwall SSL-VPNs
Die Rolle von VPS-Hosting-Netzwerken bei den Ransomware-Angriffen
Die IT-Sicherheitsforscher von Arctic Wolf haben eine besorgniserregende Zunahme an Akira- und Fog-Ransomware-Aktivitäten festgestellt, die Schwachstellen in Sonicwalls SSL-VPNs ausnutzen, um in Netzwerke einzudringen. Dabei wurden mindestens 30 Einbrüche seit Anfang August in verschiedenen Branchen beobachtet.
Die Quelle der bösartigen VPN-Log-ins
Die bösartigen VPN-Log-ins, die für die Ransomware-Angriffe auf Sonicwall SSL-VPNs genutzt wurden, stammten aus Netzwerken, die mit VPS-Hosting in Verbindung stehen. Dies legt nahe, dass die Angreifer entweder gehackte Maschinen bei Hosting-Providern nutzten oder sogar eigene virtuelle Server für ihre Zwecke mieteten. Die Identifizierung der IP-Adressen dieser Netzwerke bietet einen wichtigen Ansatzpunkt für die Abwehrmaßnahmen, um potenzielle Angriffe frühzeitig zu erkennen und zu blockieren.
Bedeutung der Schwachstelle CVE-2024-40766
Die kritische Schwachstelle CVE-2024-40766, mit einem CVSS-Wert von 9.3, spielte eine entscheidende Rolle bei den Ransomware-Angriffen auf die Sonicwall-Geräte. Obwohl Sonicwall bereits Anfang September vor aktiv ausgenutzten Sicherheitslücken in den SSL-VPNs warnte und Patches bereitstellte, waren die angegriffenen Geräte nicht gegen diese Schwachstelle geschützt. Die Verfügbarkeit von Updates zur Behebung dieser Schwachstelle lieferte dennoch wichtige Hinweise für die Sicherheitsmaßnahmen.
Mangel an zentraler Authentifizierung bei den angegriffenen SSL-VPN-Konten
Die kompromittierten SSL-VPN-Konten, die lokal auf den Sonicwall-Geräten eingerichtet waren, wiesen einen Mangel an zentraler Authentifizierung auf. Im Gegensatz zu Konten, die über eine zentrale Authentifizierungssoftware wie Microsofts Active Directory verwaltet wurden, fehlte es bei den betroffenen Konten an einer Mehr-Faktor-Authentifizierung. Dieser Umstand erleichterte den Angreifern den unbefugten Zugriff und die Manipulation der Firewall-Protokolle nach dem Einbruch.
Zeitrahmen von Einbruch bis zur Verschlüsselung mit Ransomware
Arctic Wolf stuft den Zeitraum vom Netzwerkeinbruch bis zur Verschlüsselung mit Ransomware als vergleichsweise kurz ein. In den meisten Fällen erfolgte die Verschlüsselung noch am selben Tag des Einbruchs, teilweise sogar nur wenige Stunden später. Die Angreifer zeigten ein besonderes Interesse an sensiblen Dokumenten aus den Personal- und Finanzabteilungen, wobei Daten bis zu 30 Monate zurückreichten. Allgemeinere Dokumente oder Anwendungen waren für die Angreifer offenbar weniger attraktiv, wenn sie älter als etwa sechs Monate waren.
Besonderes Interesse der Angreifer an sensiblen Dokumenten
Die Ransomware-Angreifer zeigten ein spezielles Interesse an sensiblen Dokumenten, insbesondere aus den Personal- und Finanzabteilungen der betroffenen Unternehmen. Dabei exfiltrierten sie Daten, die bis zu 30 Monate zurückreichten. Dies deutet darauf hin, dass die Angreifer gezielt nach Informationen suchten, die für die Opfer besonders wertvoll und potenziell erpressbar waren.
Indicators of Compromise (IOCs) für eine erfolgreiche Angriffsuntersuchung
Die detaillierten Indicators of Compromise (IOCs), die von den IT-Sicherheitsforschern bereitgestellt wurden, bieten wichtige Anhaltspunkte für die Untersuchung und Abwehr von Ransomware-Angriffen. Diese Indizien ermöglichen es Administratoren, potenziell kompromittierte Systeme zu identifizieren und geeignete Gegenmaßnahmen zu ergreifen, um weitere Angriffe zu verhindern.
Wie kannst du deine Netzwerksicherheit verbessern und dich vor Ransomware-Angriffen schützen? 🛡️
Angesichts der zunehmenden Bedrohung durch Ransomware-Angriffe ist es entscheidend, deine Netzwerksicherheit zu stärken und proaktiv Maßnahmen zu ergreifen, um dich vor potenziellen Angriffen zu schützen. Überprüfe regelmäßig die Sicherheitspatches für deine VPN-Geräte, implementiere eine zentrale Authentifizierung und setze auf eine umfassende Überwachung deines Netzwerks. Welche Schritte wirst du unternehmen, um deine IT-Infrastruktur besser zu schützen? 💬🔒🔍