WickrMe Ransomware

WickrMe Ransomware-Beschreibung

Ein neuer Ransomware-Vorgang hat begonnen, auf Microsoft SharePoint-Server abzuzielen. Dies ist das erste Mal, dass dieser bestimmte Einstiegspunkt zum Infiltrieren privater Unternehmensnetzwerke und zum Bereitstellen von Ransomware verwendet wurde. Bisherige Ziele ähnlicher Kampagnen waren Microsoft Exchange-E-Mail-Server, Citrix-Gateways, F5-BIG-IP-Load-Balancer und VPN-Produkte, die von Pulse Secure, Fortinet und Palo Alto Network veröffentlicht wurden.

Die Angriffskampagne wird von Sicherheitsanbietern als WickrMe Ransomware (Hello) verfolgt, da Wickr-verschlüsselte IM-Konten als Teil der Kommunikationskanäle verwendet werden, über die Opfer die Cyberkriminellen erreichen können. Der erste Kompromissvektor, der von der WickMe Ransomware ausgenutzt wird, ist eine bekannte Sicherheitsanfälligkeit (CVE-2019-0604), die die SharePoint-Team-Collaboration-Server von Microsoft betrifft. Der Exploit ermöglicht es dem Bedrohungsakteur, die Kontrolle über den SharePoint-Server zu erlangen und eine beschädigte Web-Shell bereitzustellen. Im nächsten Schritt erstellen Sie eine Hintertür, indem Sie ein Cobalt Strike-Beacon installieren. Die Hacker können dann automatisierte PowerShell-Skripte ausführen, die letztendlich die endgültige Nutzlast - die Hello Ransomware-Bedrohung - auf den gefährdeten Systemen liefern und ausführen.

Unternehmen wurden vor dem Exploit gewarnt

Im vergangenen Jahr veröffentlichte Microsoft einen Blogbeitrag, in dem die signifikante Zunahme der beobachteten Angriffskampagnen behandelt wurde, die auf Schwachstellen in Netzwerkgeräten als Gateways für die Bereitstellung von Ransomware-Bedrohungen abzielten. Zu den im Artikel erwähnten spezifischen Sicherheitslücken gehörte auch CVE-2019-0604. Microsoft fordert Unternehmen dringend auf, die Sammlung von Exploits zu patchen, von denen sie glaubten, dass sie bald von Ransomware-Gruppen angegriffen werden könnten.

Der gleiche SharePoint-Serverfehler wurde zuvor in Kampagnen ausgenutzt, die von Cyberkriminellen, staatlich geförderten Spionagegruppen und APTs (Advanced Persistent Threats) gestartet wurden.

Hinterlasse eine Antwort

Bitte verwenden Sie NICHT dieses Kommentarsystem für Support oder Zahlungsfragen. Für technische Supportanfragen zu SpyHunter wenden Sie sich bitte direkt an unser technisches Support-Team, indem Sie über SpyHunter ein Kunden-Support-Ticket öffnen. Für Rechnungsprobleme, leiten Sie bitte zu unserer "Rechnungsfragen oder Probleme?" Seite weiter. Für allgemeine Anfragen (Beschwerden, rechtliche Fragen, Presse, Marketing, Copyright) besuchen Sie unsere Seite "Anfragen und Feedback".


HTML ist nicht erlaubt.