Threat Database Ransomware WickrMe Ransomware

WickrMe Ransomware

Ein neuer Ransomware-Vorgang hat begonnen, auf Microsoft SharePoint-Server abzuzielen. Dies ist das erste Mal, dass dieser bestimmte Einstiegspunkt zum Infiltrieren privater Unternehmensnetzwerke und zum Bereitstellen von Ransomware verwendet wurde. Bisherige Ziele ähnlicher Kampagnen waren Microsoft Exchange-E-Mail-Server, Citrix-Gateways, F5-BIG-IP-Load-Balancer und VPN-Produkte, die von Pulse Secure, Fortinet und Palo Alto Network veröffentlicht wurden.

Die Angriffskampagne wird von Sicherheitsanbietern als WickrMe Ransomware (Hello) verfolgt, da Wickr-verschlüsselte IM-Konten als Teil der Kommunikationskanäle verwendet werden, über die Opfer die Cyberkriminellen erreichen können. Der erste Kompromissvektor, der von der WickMe Ransomware ausgenutzt wird, ist eine bekannte Sicherheitsanfälligkeit (CVE-2019-0604), die die SharePoint-Team-Collaboration-Server von Microsoft betrifft. Der Exploit ermöglicht es dem Bedrohungsakteur, die Kontrolle über den SharePoint-Server zu erlangen und eine beschädigte Web-Shell bereitzustellen. Im nächsten Schritt erstellen Sie eine Hintertür, indem Sie ein Cobalt Strike-Beacon installieren. Die Hacker können dann automatisierte PowerShell-Skripte ausführen, die letztendlich die endgültige Nutzlast - die Hello Ransomware-Bedrohung - auf den gefährdeten Systemen liefern und ausführen.

Unternehmen wurden vor dem Exploit gewarnt

Im vergangenen Jahr veröffentlichte Microsoft einen Blogbeitrag, in dem die signifikante Zunahme der beobachteten Angriffskampagnen behandelt wurde, die auf Schwachstellen in Netzwerkgeräten als Gateways für die Bereitstellung von Ransomware-Bedrohungen abzielten. Zu den im Artikel erwähnten spezifischen Sicherheitslücken gehörte auch CVE-2019-0604. Microsoft fordert Unternehmen dringend auf, die Sammlung von Exploits zu patchen, von denen sie glaubten, dass sie bald von Ransomware-Gruppen angegriffen werden könnten.

Der gleiche SharePoint-Serverfehler wurde zuvor in Kampagnen ausgenutzt, die von Cyberkriminellen, staatlich geförderten Spionagegruppen und APTs (Advanced Persistent Threats) gestartet wurden.

Im Trend

Am häufigsten gesehen

Wird geladen...