Update: Weltweite Ransomware-Angriffe - auch Schweizer Server betroffen

Update vom 7.2.2023: Die aktuelle Welle der Cyberangriffe zieht weitere Kreise. Das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) schätzt, dass es alleine in Deutschland "eine mittlere dreistellige Zahl an Betroffenen" gibt. Die Behörde verortet den Schwerpunkt der Kampagne demnach in Frankreich, den USA, Deutschland und Kanada.

Doch auch erste Server in der Schweiz wurden offenbar verschlüsselt, wie das Nationale Zentrum für Cybersicherheit (NCSC) mitteilt. Dort seien zwar keine direkten Meldungen von Opfern aus der Schweiz eingegangen, teilt die Behörde auf Anfrage mit. Aber: "Das NCSC hat Kenntnis von rund 100 verwundbaren Systemen in der Schweiz, davon sind zehn gemäss den uns vorliegenden Informationen bereits durch Cyberkriminelle erfolgreich verschlüsselt worden."

Eine Warnung, ähnlich der italienischen Behörde für Cybersicherheit (ACN), hat das NCSC bislang nicht veröffentlicht. Man habe jedoch verschiedene Internetprovider in der Schweiz kontaktiert, damit diese ihre Kunden über die Schwachstelle entsprechend informieren, teilt das NCSC mit.

Zur aktuell ausgenutzten Sicherheitslücke CVE-2021-21972 fügt das NCSC an, es handle sich hier um eine ältere Schwachstelle, die bereits seit Februar 2021 öffentlich bekannt sei und zu der es auch seit Februar 2021 Sicherheits-Patches gebe. Grundsätzlich ist zu sagen, dass diese Systeme gemäss "Best Practices" gar nicht erst vom Internet her zugänglich sein sollten. Das NCSC appelliert einmal mehr an die Eigenverantwortung der Unternehmen, Systeme gemäss den üblichen "Best Practices" zu betreiben und Sicherheitspatches zeitnah einzuspielen."

Schliesslich schreibt das NCSC, der aktuell laufende Angriff liege "im Rahmen von vergleichbaren Angriffsmustern wie z. B. den Angriffen auf Verwundbarkeiten in Exchange, Fortinet, Pulse VPN oder Sonicwall, vor welchen das NCSC in den vergangenen Jahren immer wieder eindringlich gewarnt hat."

Woran Systemadministratoren eine mögliche Infektion mit der aktuell verbreiteten Ransomware bemerken und wie sie Daten (vielleicht) retten können, lesen Sie hier.

Originalmeldung vom 6. Februar 2023:

Italienische Behörden warnen vor weltweiten Ransomware-Angriffen

Seit mehreren Tagen fahren bösartige Hacker eine gross angelegte Ransomware-Kampagne. Am stärksten von den Angriffen betroffen ist Italien, wie "Italy24" unter Berufung auf eine Warnung der dortigen Agentur für Cybersicherheit (ACN) berichtet. Demnach seien mehrere Dutzend italienische IT-Systeme lahmgelegt. Bereits am Freitag habe es jedoch auch Berichte von ähnlichen Angriffen aus Frankreich gegeben. Laut "Reuters" sind auch IT-Systeme in Finnland, den Vereinigten Staaten und Kanada unter den Opfern.

Check Point: "Umfangreichste Cyberattacke auf Nicht-Windows-Systeme"

Für ihre Angriffe nutzen die Hacker eine Schwachstelle in ESXi-Servern des Unternehmens VMware aus. Brisant dabei: Die Sicherheitslücke CVE-2021-21974 ist seit Jahren bekannt und VMware teilt gegenüber "Reuters" mit, bereits seit Februar 2021 Sicherheits-Patches zum Beheben der Schwachstelle zur Verfügung zu stellen.

Auch Check Point warnt vor den neuerlichen Ransomwareangriffen. Laut einem Scan des Cybersecurity-Anbieters sollen bereits 1900 Server mit Malware infiziert worden sein. Die Attacken unterschieden sich deutlich von jenen, die tagtäglich für Schlagzeilen sorgen, erklärt Alvaro Amato, Country Manager Schweiz bei Check Point. Denn während üblicherweise private Organisationen zu Schaden kommen, haben die jüngsten Ransomwareattacken "potenzielle Auswirkungen, die auf die gesamte Bevölkerung übergreifen und zu nationalen oder sogar globalen Störungen führen können", sagt er.

Alvaro Amato, Country Manager Schweiz bei Check Point. (Source: Beat Baschung)

Laut Amato gilt "dieser massive Cyberangriff auf ESXi-Server als die umfangreichste Cyber-Attacke, die jemals auf Nicht-Windows-Rechner gemeldet wurde". Bis vor kurzem seien Ransomwareangriffe jeweils auf Windows-Systeme verübt worden, heisst es weiter. Nun hätten Angreifer die Wichtigkeit von Linux-Servern für Unternehmen und Organisationen erkannt und ihre Strategie angepasst. Noch verheerender werden Angriffe auf die ESXi-Server darum, weil auf den kompromittierten Servern oft noch weitere virtuelle Systeme laufen. "Daher ist der Schaden wahrscheinlich weitreichender, als wir uns vorstellen können", konstatiert Check Points Schweiz-Chef.

Sicherheits-Patches einspielen oder Workarounds anwenden

ESXi-Server werden häufig in kritischen Infrastrukturen eingesetzt und seien schwer abzusichern, erklärt das Newsportal "Infopoint-Security". Die für die Angriffe ausgenutzte Sicherheitslücke wird demnach durch einen Heap-Überlauf im OpenSLP-Dienst verursacht, der von nicht authentifizierten Bedrohungsakteuren in Angriffen mit geringem Schwierigkeitsgrad ausgenutzt werden kann.

Die italienische Behörde ACN mahnt Unternehmen, welche die VMware-Serversoftware einsetzen, ihre Systeme baldmöglichst gegen die Schwachstelle abzusichern. Laut Infopoint-Security sind die folgenden Systeme von der Schwachstelle betroffen:

• ESXi-Versionen 7.x vor ESXi70U1c-17325551

• ESXi-Versionen 6.7.x vor ESXi670-202102401-SG

• ESXi-Versionen 6.5.x vor ESXi650-202102101-SG

Ist ein sofortiges Einspielen des Sicherheits-Patches nicht möglich, lassen sich eingehende Angriffe laut Infopoint-Security auch blockieren, indem der anfällige Service-Location-Protocol (SLP)-Dienst auf noch nicht aktualisierte ESXi-Hypervisoren deaktiviert wird. Wie Administratoren diesen Workaround anwenden, beschreibt VMware in seiner Knowledge-Datenbank.

Was Sie zu Ransomware wissen sollten, erfahren Sie in diesem Fachartikel.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.