{"id":19677,"date":"2019-07-09T14:22:50","date_gmt":"2019-07-09T12:22:50","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=19677"},"modified":"2019-11-22T12:03:12","modified_gmt":"2019-11-22T10:03:12","slug":"sodin-msp-ransomware","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/sodin-msp-ransomware\/19677\/","title":{"rendered":"Ransomware Sodin greift \u00fcber MSPs an"},"content":{"rendered":"

Als wir Ende M\u00e4rz \u00fcber den Angriff der Ransomware GrandCrab<\/a> auf MSP-Clients berichteten, dachten wird uns schon, dass dies kein Einzelfall bleiben w\u00fcrde, da Managed Service Provider einfach ein zu verlockendes Ziel f\u00fcr Cyberkriminelle darstellen.<\/p>\n

Es sieht ganz danach aus, als h\u00e4tten wir mit unserer anf\u00e4nglichen Vermutung nicht ganz falsch gelegen. Im April dieses Jahres wurden unsere Experten auf die Ransomware Sodin aufmerksam, die sich von anderen Schadprogrammen ihresgleichen unterschied, da sie nicht nur L\u00fccken in MPS-Sicherheitssystemen, sondern auch eine Schwachstelle in der Oracle WebLogic-Plattform ausnutzte. Eine Ransomware erfordert typischerweise eine Aktion durch den Benutzer, wie das Aufrufen einer Datei aus einer Phishing-E-Mail. Dies ist hier nicht der Fall.<\/p>\n

Detaillierte technische Informationen zu dieser Ransomware finden Sie in diesem Securelist-Post<\/a>. Aus unserer Sicht ist das Interessanteste an dieser Malware die Art der Verbreitung.<\/p>\n

So verbreitet sich Sodin<\/h2>\n

Um die Malware \u00fcber WebLogic<\/a> zu verbreiten, nutzten die Angreifer die Schwachstelle CVE-2019-2725 aus und f\u00fchrten so einen PowerShell-Befehl auf einem anf\u00e4lligen Oracle WebLogic-Server aus. Auf diese Weise konnten sie einen Dropper auf den Server laden, der dann die Nutzlast, d.\u00a0h. die Ransomware Sodin installierte. Patches f\u00fcr den Bug wurden bereits im April ver\u00f6ffentlicht, doch Ende Juni wurde eine weitere \u00e4hnliche Schwachstelle entdeckt: CVE-2019-2729.<\/p>\n

Bei Angriffen \u00fcber MSPs verschafft sich Sodin auf verschiedene Arten Zugriff auf den Computer. So haben Benutzer von mindestens drei Anbietern bereits Erfahrung mit diesem Trojaner gemacht. Laut dieser Story auf DarkReading<\/a> nutzten die Angreifer in einigen F\u00e4llen die RAS-Konsolen Webroot und Kaseya, um den Trojaner auf die Ger\u00e4te zu schleusen. In anderen F\u00e4llen drangen die Angreifer, wie auf Reddit beschrieben,<\/a> mithilfe einer RPD-Verbindung, erweiterten Berechtigungen, deaktivierten Sicherheitsl\u00f6sungen und Backups in die MSP-Infrastruktur ein und luden dann Ransomware auf Client-Computer herunter.<\/p>\n

So sollten Dienstanbieter vorgehen<\/h2>\n

Zun\u00e4chst einmal sollten Sie die Speicherung Ihrer Passw\u00f6rter f\u00fcr Remotezugriffe ernst nehmen und nach M\u00f6glichkeit die Zwei-Faktor-Authentifizierung verwenden. Remotekonsolen f\u00fcr sowohl Kaseya als auch f\u00fcr Webroot unterst\u00fctzen die Zwei-Faktor-Authentifizierung, auf die Entwickler nach diesem Vorfall bestanden. Es ist offensichtlich, dass sich die Angreifer, die Sodin verbreiten, keine Gelegenheit entgehen lassen; sie halten entschlossen Ausschau nach verschiedenen Methoden, um Malware \u00fcber MSP-Anbieter zu verteilen. Daher ist es so wichtig, alle anderen in diesem Bereich verwendeten Tools genaustens zu pr\u00fcfen. Wie wir schon oft erw\u00e4hnt haben, sollte ein RDP-Zugriff lediglich der letzte Ausweg sein.<\/p>\n

MSPs und besonders solche, die Cybersicherheitsdienste anbieten, sollten den Schutz ihrer eigenen Infrastruktur noch ernster als den ihrer Client-Infrastruktur nehmen. So k\u00f6nnen MSPs sich selbst und ihre Kunden mit Kaspersky sch\u00fctzen<\/a>.<\/p>\n

Das sollten andere Unternehmen tun<\/h2>\n

Nat\u00fcrlich ist eine aktualisierte Software ein Muss. Malware, die es in Ihre Infrastruktur \u00fcber vor Monaten entdeckte Schwachstellen schafft, ist ein peinliches Beispiel eines ganz offensichtlich unn\u00f6tigen Fehlers.<\/p>\n

Unternehmen, die Oracle WebLogic nutzen, sollten sich zun\u00e4chst mit den Sicherheitshinweisen von Oracle f\u00fcr die Schwachstellen CVE-2019-2725<\/a> und CVE-2019-2729<\/a> vertraut machen.<\/p>\n

Es ist auch ratsam, eine zuverl\u00e4ssige Sicherheitsl\u00f6sung<\/a> mit Subsystemen zu verwenden, die Ransomware entdecken und Arbeitsstationen vor ihr sch\u00fctzen k\u00f6nnen.<\/p>\n\n

\u00a0<\/p>\n","protected":false},"excerpt":{"rendered":"

Diese Ransomware infiziert und verschl\u00fcsselt die Systeme ihrer Opfer \u00fcber MSP-Infrastrukturen oder Schwachstellen des Oracle Weblogic-Servers.<\/p>\n","protected":false},"author":2506,"featured_media":19678,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[1848,3108],"tags":[2566,535],"class_list":{"0":"post-19677","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-smb","9":"tag-msp","10":"tag-ransomware"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/sodin-msp-ransomware\/19677\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/sodin-msp-ransomware\/16108\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/sodin-msp-ransomware\/13616\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/sodin-msp-ransomware\/18005\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/sodin-msp-ransomware\/16142\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/sodin-msp-ransomware\/14883\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/sodin-msp-ransomware\/18805\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/sodin-msp-ransomware\/17561\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/sodin-msp-ransomware\/23051\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/sodin-msp-ransomware\/6113\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/sodin-msp-ransomware\/27530\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/sodin-msp-ransomware\/11924\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/sodin-msp-ransomware\/12167\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/sodin-msp-ransomware\/10922\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/sodin-msp-ransomware\/23581\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/sodin-msp-ransomware\/18638\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/sodin-msp-ransomware\/22925\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/sodin-msp-ransomware\/22866\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/ransomware\/","name":"Ransomware"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/19677","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2506"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=19677"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/19677\/revisions"}],"predecessor-version":[{"id":20803,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/19677\/revisions\/20803"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/19678"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=19677"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=19677"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=19677"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}