Sophos gibt Details zu einer neuen, Python-basierten Ransomware bekannt, mit der Cyberkriminelle virtuelle Maschinen auf ESXi-Hypervisoren angreifen und verschl\u00fcsseln. Im Report mit dem Titel „Python Ransomware Script Targets ESXi Server for Encryption“ beschreiben die Experten der Sophos Labs eine High-Speed-Attacke, die weniger als drei Stunden vom Einbruch bis zur Verschl\u00fcsselung ben\u00f6tigte.\u00a0„Dies ist eine der schnellsten Ransomware-Attacken, die Sophos je untersucht hat, und sie scheint genau auf die ESXi-Plattform abzuzielen“, sagt Andrew Brandt, Principal Researcher bei Sophos. „Python ist eine Programmiersprache, die \u00fcblicherweise nicht f\u00fcr Ransomware verwendet wird. Allerdings ist Python auf Linux-basierten Systemen wie ESXi vorinstalliert, so dass Python-basierte Angriffe auf solche Systeme m\u00f6glich sind. ESXi-Server sind ein attraktives Ziel f\u00fcr Ransomware-Kriminelle, da sie in der Lage sind, mehrere virtuelle Maschinen mit m\u00f6glicherweise gesch\u00e4ftskritischen Anwendungen oder Diensten gleichzeitig anzugreifen. Angriffe auf Hypervisoren k\u00f6nnen sowohl schnell als auch \u00e4u\u00dferst desastr\u00f6s sein. Ransomware-Gruppen wie DarkSide und REvil haben es bei ihren Angriffen auf ESXi-Server abgesehen.“<\/p>\n
<\/p>\n
Die Untersuchung ergab, dass der Angriff um 0:30 Uhr an einem Sonntag begann, als ein TeamViewer-Konto gekapert wurde, das auf einem Computer lief, auf dem auch Zugangsdaten f\u00fcr den Domain-Administrator vorhanden waren.\u00a0Nur 10 Minuten sp\u00e4ter nutzen die Angreifenden das Tool Advanced IP Scanner, um nach Zielen im Netzwerk zu suchen. Die SophosLabs gehen davon aus, dass der ESXi-Server im Netzwerk verwundbar war, weil er \u00fcber ein Active Shell verf\u00fcgte, eine Programmierschnittstelle, die IT-Teams f\u00fcr Befehle und Updates verwenden. Dadurch konnten die Cyberkriminellen ein sicheres Netzwerkkommunikationstool namens Bitvise auf dem Rechner des Dom\u00e4nenadministrators installieren, das ihnen Fernzugriff auf das ESXi-System einschlie\u00dflich des Speichers erm\u00f6glichte, der von den virtuellen Maschinen verwendet wurde. Gegen 3:40 Uhr morgens wurde die Ransomware aktiviert und verschl\u00fcsselte Festplatten der ESXi-Server.<\/p>\n
Es ist wichtiger denn je, Angriffe von vornherein fernzuhalten oder sie so fr\u00fchzeitig zu entdecken, dass sie keinen Schaden anrichten k\u00f6nnen. Ein mehrschichtiger Schutz hilft, Attacken an m\u00f6glichst vielen Stellen im Unternehmen zu erkennen und zu blockieren.<\/p>\n
Der Schl\u00fcssel ist eine umfassende Verteidigung, die eine spezielle Anti-Ransomware-Technik und eine von Menschen gef\u00fchrte Bedrohungsjagd kombiniert. Die Technologie inkludiert den Umfang und die Automatisierung, die ein Unternehmen heute zum Schutz ben\u00f6tigt und kombiniert dies mit menschlichen Experten, die in der Lage sind, die verr\u00e4terischen Taktiken, Techniken und Verfahren der Angriffe zu erkennen. Unternehmen, deren eigenes IT- oder Sicherheitsteam nicht \u00fcber diese speziellen F\u00e4higkeiten verf\u00fcgt, k\u00f6nnen auf die Unterst\u00fctzung von externen Cybersicherheitsspezialisten z\u00e4hlen.<\/p>\n
\u00dcberwachung und Reaktion auf Warnungen. Unternehmen sollten sicherstellen, dass Tools, Prozesse, Ressourcen und Expert:innen zur Verf\u00fcgung stehen, um Bedrohungen in der Umgebung zu \u00fcberwachen, zu untersuchen und darauf zu reagieren. Ransomware-Gruppen planen ihre Angriffe oft au\u00dferhalb der Sto\u00dfzeiten, an Wochenenden oder in den Ferien, da sie davon ausgehen, dass nur wenige oder gar keine Mitarbeiter aufpassen.\u00a0Sichere Passw\u00f6rter im gesamten Unternehmen. Passw\u00f6rter sollten einmalig oder komplex sein und nie mehrfach verwendet werden. Die Organisation von Passw\u00f6rtern l\u00e4sst sich mit einem Passwort-Manager leichter bewerkstelligen.<\/p>\n
Selbst starke Passw\u00f6rter k\u00f6nnen kompromittiert werden. Jede Form der Multifaktor-Authentifizierung ist besser als gar keine, um den Zugang zu wichtigen Ressourcen wie E-Mail, Remote-Management-Tools und Netzwerkressourcen zu sichern.<\/p>\n
Mit Netzwerk-Scans lassen sich Ports, die h\u00e4ufig von VNC, RDP oder anderen Fernzugriffstools verwendet werden identifizieren und anschlie\u00dfend sperren. Wenn ein Rechner \u00fcber ein Remote-Management-Tool erreichbar sein muss, sollte dieses Tool mit einem VPN oder einer Netzwerkzugangsl\u00f6sung, die MFA als Teil der Anmeldung verwendet, eingerichtet werden.
Segmentierung und Zero-Trust. Kritische Server sollten voneinander und von Workstations getrennt sein, indem separate VLANs eingebunden werden und konsequent auf das Zero-Trust-Netzwerkmodell hingearbeitet wird.<\/p>\n
Es gilt, Backups auf dem neuesten Stand zu halten und die Wiederherstellbarkeit sicherzustellen. Zudem sollte eine Kopie offline aufbewahrt werden.<\/p>\n
Unbekannte, ungesch\u00fctzte und nicht gepatchte Ger\u00e4te im Netzwerk erh\u00f6hen das Risiko und schaffen eine Situation, in der b\u00f6sartige Aktivit\u00e4ten unbemerkt bleiben k\u00f6nnten. Eine Bestandsaufnahme aller angeschlossenen Recheninstanzen ist unerl\u00e4sslich. N\u00fctzlich daf\u00fcr sind Netzwerk-Scans, IaaS-Tools und physische \u00dcberpr\u00fcfungen, um alle Komponenten zu lokalisieren, zu katalogisieren und um einen Endpoint-Schutz auf allen Rechnern, die nicht gesch\u00fctzt sind, einzurichten.<\/p>\n
Unzureichend gesch\u00fctzte Systeme und Ger\u00e4te sind anf\u00e4llig. Es ist wichtig sicherzustellen, dass die Sicherheitsl\u00f6sungen ordnungsgem\u00e4\u00df konfiguriert sind und die Sicherheitsrichtlinien regelm\u00e4\u00dfig \u00fcberpr\u00fcft, validiert und aktualisiert werden. Neue Sicherheitsfunktionen werden nicht immer automatisch aktiviert. Der Manipulationsschutz sollte nie deaktiviert werden und es sollten keine umfassenden Erkennungsausschl\u00fcsse konfiguriert werden, die einem Angreifer die Arbeit erleichtern.<\/p>\n
Wichtig ist eine regelm\u00e4\u00dfige Pr\u00fcfung aller Konten im Active Directory sowie sicherzustellen, dass keine Konten \u00fcber mehr Zugriffsberechtigungen verf\u00fcgen, als f\u00fcr den jeweiligen Zweck erforderlich. Konten von ausscheidenden Mitarbeiter:innen sollten deaktiviert werden, sobald diese das Unternehmen verlassen.<\/p>\n
Windows und andere Betriebssysteme und Software sollten immer auf dem neuesten Stand sein. Zudem ist es wichtig, dass Patches sowohl korrekt installiert wurden als auch f\u00fcr kritische Systeme wie Rechner mit Internetanschluss oder Dom\u00e4nencontroller \u00fcberhaupt vorhanden sind.<\/p>\n