In unserem vorherigen Artikel haben wir über die kritische Sicherheitslücke bei den Exchange-Servern 2010-2019 berichtet.
Da sowohl die Vorgehensweise, wie auch der Exploit-Code mittlerweile öffentlich ist, war zu vermuten, dass sich in Folge weitere Hacker-Gruppen diese Schwachstelle zu Nutze machen. Die Hacker-Gruppierungen reichen von sogenannten Advanced-Persistent-Threat-Gruppen (APT), die sowohl finanziell durch gewisse Staaten unterstützt werden und oft auch für ihre Attacken zusätzlich auf Spitzentechnologien zurückgreifen können, über „Miner“ bis zu weiteren Cyber-Kriminellen.
Von „Minern“ wird aktuell die Schwachstelle in den betroffenen Exchange-Servern auch ausgenutzt, um Kryptomining-Schadsoftware zu installieren, so das Computer-Notfallteam des Bundesamts für Sicherheit in der Informationstechnik (BSI: CERT Bund).
In Deutschland wurden mit Stand Mitte März die Schadsoftware DLTMiner "auf mindestens 600 Exchange-Servern" gefunden. Bei den betroffenen Servern handele es sich sowohl um immer noch ungepatchte Installationen als auch gepatchte Server, die vor dem Softwareupdate befallen wurden. Mittels Kryptomining-Schadsoftware werden unterschiedliche Kryptowährungen „geschürft“. Indem vereinfacht ein einzelner Code, einer komplexen Zeichenkombination zu einem sogenannten Hash-Wert zusammengerechnet wird. Dieser benötigt deutlich weniger Speicherplatz und im Ergebnis entsteht eine Liste aufeinanderfolgenden Hash-Werte, die dann eine Blockchain bilden. Hierzu ist mittlerweile eine hohe Rechenleistung notwendig und Miner übernehmen diese Rechenleistung, errechnen die Hash-Werte und ernten die Belohnung in Form von Kryptowährungen.
Eine weitere Folge dieser Lücke ist vermutlich der Ransomware-Befall des Taiwanesischen Hardwareherstellers „ACER“, der Mitte März Opfer der "REvil"-Gruppe geworden ist. Bei diesem Angriff sind nicht nur Systeme des Unternehmens verschlüsselt, sondern zuvor auch Dokumente und Daten entwendet worden. In einschlägigen Medien wird über ein Lösegeld von rund 50 Millionen Dollar berichtet. Um den Druck auf das Unternehmen zu erhöhen, wurden Bilder von Dokumenten im Internet veröffentlicht, die vom Unternehmen stammen sollen. Das Lösegeld, um die entwendeten Daten und Dokumente zu löschen und ein Entschlüsselungstool für die verschlüsselten Daten bereitzustellen, sollte in der Kryptowährung Monero gezahlt werden. Der Ausgang ist noch offen.
Auch wird weiterhin durch Cyber-Kriminelle versucht, Ransomware auf ungepatchten Exchange Servern zu installieren.
Sie haben Fragen oder Beratungsbedarf? Gerne unterstützen Sie unsere Experten sich vor Hackerangriffen zu schützen und Sicherheitsmaßnahmen zu installieren. Jetzt Kontakt aufnehmen!