Als wir Ende März über den Angriff der Ransomware GrandCrab auf MSP-Clients berichteten, dachten wird uns schon, dass dies kein Einzelfall bleiben würde, da Managed Service Provider einfach ein zu verlockendes Ziel für Cyberkriminelle darstellen.
Es sieht ganz danach aus, als hätten wir mit unserer anfänglichen Vermutung nicht ganz falsch gelegen. Im April dieses Jahres wurden unsere Experten auf die Ransomware Sodin aufmerksam, die sich von anderen Schadprogrammen ihresgleichen unterschied, da sie nicht nur Lücken in MPS-Sicherheitssystemen, sondern auch eine Schwachstelle in der Oracle WebLogic-Plattform ausnutzte. Eine Ransomware erfordert typischerweise eine Aktion durch den Benutzer, wie das Aufrufen einer Datei aus einer Phishing-E-Mail. Dies ist hier nicht der Fall.
Detaillierte technische Informationen zu dieser Ransomware finden Sie in diesem Securelist-Post. Aus unserer Sicht ist das Interessanteste an dieser Malware die Art der Verbreitung.
So verbreitet sich Sodin
Um die Malware über WebLogic zu verbreiten, nutzten die Angreifer die Schwachstelle CVE-2019-2725 aus und führten so einen PowerShell-Befehl auf einem anfälligen Oracle WebLogic-Server aus. Auf diese Weise konnten sie einen Dropper auf den Server laden, der dann die Nutzlast, d. h. die Ransomware Sodin installierte. Patches für den Bug wurden bereits im April veröffentlicht, doch Ende Juni wurde eine weitere ähnliche Schwachstelle entdeckt: CVE-2019-2729.
Bei Angriffen über MSPs verschafft sich Sodin auf verschiedene Arten Zugriff auf den Computer. So haben Benutzer von mindestens drei Anbietern bereits Erfahrung mit diesem Trojaner gemacht. Laut dieser Story auf DarkReading nutzten die Angreifer in einigen Fällen die RAS-Konsolen Webroot und Kaseya, um den Trojaner auf die Geräte zu schleusen. In anderen Fällen drangen die Angreifer, wie auf Reddit beschrieben, mithilfe einer RPD-Verbindung, erweiterten Berechtigungen, deaktivierten Sicherheitslösungen und Backups in die MSP-Infrastruktur ein und luden dann Ransomware auf Client-Computer herunter.
So sollten Dienstanbieter vorgehen
Zunächst einmal sollten Sie die Speicherung Ihrer Passwörter für Remotezugriffe ernst nehmen und nach Möglichkeit die Zwei-Faktor-Authentifizierung verwenden. Remotekonsolen für sowohl Kaseya als auch für Webroot unterstützen die Zwei-Faktor-Authentifizierung, auf die Entwickler nach diesem Vorfall bestanden. Es ist offensichtlich, dass sich die Angreifer, die Sodin verbreiten, keine Gelegenheit entgehen lassen; sie halten entschlossen Ausschau nach verschiedenen Methoden, um Malware über MSP-Anbieter zu verteilen. Daher ist es so wichtig, alle anderen in diesem Bereich verwendeten Tools genaustens zu prüfen. Wie wir schon oft erwähnt haben, sollte ein RDP-Zugriff lediglich der letzte Ausweg sein.
MSPs und besonders solche, die Cybersicherheitsdienste anbieten, sollten den Schutz ihrer eigenen Infrastruktur noch ernster als den ihrer Client-Infrastruktur nehmen. So können MSPs sich selbst und ihre Kunden mit Kaspersky schützen.
Das sollten andere Unternehmen tun
Natürlich ist eine aktualisierte Software ein Muss. Malware, die es in Ihre Infrastruktur über vor Monaten entdeckte Schwachstellen schafft, ist ein peinliches Beispiel eines ganz offensichtlich unnötigen Fehlers.
Unternehmen, die Oracle WebLogic nutzen, sollten sich zunächst mit den Sicherheitshinweisen von Oracle für die Schwachstellen CVE-2019-2725 und CVE-2019-2729 vertraut machen.
Es ist auch ratsam, eine zuverlässige Sicherheitslösung mit Subsystemen zu verwenden, die Ransomware entdecken und Arbeitsstationen vor ihr schützen können.