[English]Für Administratoren, die ungepatchte Citrix ADC/Netscaler Appliances einsetzen, ist es jetzt fünf nach zwölf. Die Ragnarok Ransomware zielt auf ungepatchte Citrix ADC-Installationen und kann den Windows Defender stoppen.
Anzeige
Citrix ADC: Die Shitrix-Problematik
Eigentlich sollte das alles inzwischen ein Nicht-Thema sein, denn über die seit dem 17. Dezember 2019 öffentlich bekannte Schwachstelle CVE-2019-19781 im Citrix ADC (Application Delivery Controller, früher Netscaler) hatte ich zeitnah (24.12.2019) im Beitrag Schwachstelle in Citrix Produkten gefährdet Firmen-Netzwerke berichtet.
Und es gab mehrere Sicherheitswarnungen auf allen Kanälen sowie hier im Blog, weil Proof of Concept-Exploits öffentlich wurden. Und einige Citrix-Nutzer, die nicht reagiert haben, hat es wohl mit Angriffen getroffen (siehe Cyberangriffe: Gedia & Potsdam Opfer des Shitrix-Desasters (Citrix Netscaler-Bug)?). Inzwischen hat Citrix für alle betroffenen Produkte Firmware-Updates zum Patchen der Schwachstelle herausgebracht und es gibt einen Scanner zum Testen (siehe Citrix Schwachstelle: Neue Updates und Scanner für Tests).
Ransomware Ragnarok zielt auf Citrix ADC
Nun haben Cyber-Kriminelle wohl die erste Ransomware, die auf die Citrix ADC-Schwachstelle zielt, eingesetzt. Die Ransomware, die von Sicherheitsforschern Ragnarok genannt wird, kann auf Windows-Maschinen auch den Windows Defender abschalten. Ich bin über nachfolgenden Tweet von Kollege Lawrence Abrams auf die Geschichte aufmerksam geworden.
Ragnarok Ransomware Targets Citrix ADC, Disables Windows Defender – by @LawrenceAbramshttps://t.co/Kxi70LpL49
— BleepingComputer (@BleepinComputer) January 28, 2020
Anzeige
Gelingt es Angreifern ein Citrix-ADC-Gerät zu kompromittieren, werden verschiedene Skripte heruntergeladen und ausgeführt. Diese Scripte suchen im Netzwerk des kompromittierten Citrix ADC nach Windows-Computern, die für die EternalBlue-Schwachstelle anfällig sind.
Werden solche Maschinen entdeckt, versuchen die Skripte Schwachstellen in Windows auszunutzen, und injizieren im Erfolgsfall eine DLL in das Betriebssystem. Wird die DLL ausgeführt, lädt diese die Ragnarok-Ransomware herunter und installiert diese auf der Maschine. Dann werden die Dateien verschlüsselt und Lösegeldforderungen gestellt.
Nachdem der Leiter der SentinelLabs, Vitali Kremez, die Konfigurationsdatei der Ransomware Ragnarok extrahiert hatte, entdeckte er einige Neuerungen, die unüblich sind.
2020-01-25:#Ragnarok #Ransomware
#Citrix #CVE201919781 ExploitationCfg:
1⃣reg_key: Disables Windows Defender/Protection
2⃣cmd_shadow|boot|recovery|firewall
3⃣no_name* Unix Setup
4⃣except_language – Anti-CIS+ Chinah/t @malwrhunterteam
-> https://t.co/2dyStlYZwh pic.twitter.com/VhOCa47OJJ— Vitali Kremez (@VK_Intel) January 25, 2020
Gemäß obigem Tweet kann die Ransomware den Windows Defender über einen Registrierungseintrag deaktivieren – was aber für den Defender Manipulationsschutz ('Tamper Protection') in Windows 10 nicht mehr funktioniert.
Interessant ist auch, dass die Ransomware keine Systeme aus dem russischen Einflussbereich und aus China verschlüsselt. Über die Windows Language ID werden bestimmte Länder ausgespart.
Die Ransomware verschlüsselt nicht nur die erreichbaren Dateien, sondern löscht auch die Volumenschattenkopien, deaktiviert die Windows Startreparatur und auch die Windows Firewall. Unklar ist, warum in der Ransomware Referenzen auf Linux-Verzeichnisse zu finden sind. Möglicherweise will man die Citrix-Installationen über Plattformgrenzen (Unix/Windows) abdecken. Weitere Details, die aber eigentlich nur bei der Analyse eines Cyber-Vorfalls relevant sind, lassen sich bei Bleeping Computer nachlesen.
Ähnliche Artikel:
Schwachstelle in Citrix Produkten gefährdet Firmen-Netzwerke
Sicherheitsinformationen (3.1.2020)
Exploit für Citrix ADC/Netscaler-Schwachstelle CVE-2019-19781
Achtung: Weiterer Nachbesserungsbedarf bei Citrix-Netscaler
Patches für Citrix ADC/Netscaler 11.1/12.0 verfügbar (19.1.2020)
Citrix Schwachstelle: Neue Updates und Scanner für Tests
Ransomware-Befall beim Automobilzulieferer Gedia
Potsdam offline–Ungereimtheiten erzwingen Server-Shutdown
Cyberangriffe: Gedia & Potsdam Opfer des Shitrix-Desasters (Citrix Netscaler-Bug)?
Anzeige