11.11.2024 11:35
Zugangsdaten aus 2023 für Zugriff ausgenutzt - "Helldown Leaks"-Ransomware kompromittiert Unternehmen über Zyxel-Firewalls
Seit etwa Anfang August 2024 werden international Unternehmen durch die Ransomware-Gruppe "Helldown Leaks" verschlüsselt.
Als initialer Angriffsvektor können durchgängig Zyxel-Firewalls ausgemacht werden, selbst wenn diese auf dem letzten Software-Stand sind.
Betroffen sind ...
- ATP (alle Versionen)
- USG FLEX (alle Versionen)
im On-Premise-Modus mit Remote-Management oder SSL-VPN, bei denen die Anmeldedaten von Administratoren und Benutzern seit 2023 NICHT aktualisiert wurden.
Anzeichen für eine Kompromittierung sind ...
- Unbekannte Benutzerkonten: Vorhandensein von nicht autorisierten Admin- oder Benutzerkonten wie "SUPPORT87", "SUPPOR817" oder "VPN", aber auch andere.
- Verdächtige VPN-Verbindungen: SSL-VPN-Anmeldungen von IP-Adressen, die nicht Ihrem Unternehmen zugeordnet sind, insbesondere aus dem Ausland.
- Geänderte Sicherheitsrichtlinien: Anpassungen an Firewall-Regeln, die unbeschränkten Zugriff ermöglichen oder WAN-zu-LAN-Zugriff öffnen.
- Ungewöhnliche Aktivitätsprotokolle: Admin-Anmeldungen zu ungewöhnlichen Zeiten oder von unbekannten Standorten.
Diese Ransomware-Kampagne ist weiter aktiv.
Es wird empfohlen bei Zyxel-Firewalls aus der ATP oder USG FLEX Serie umgehend ...
- ALLE Passwörter zu ändern. Bitte verwenden Sie NICHT dasselbe Passwort wie in der Vergangenheit.
- ALLE Passwörter für Admin-Konten
- ALLE Passwörter für Benutzerkonten, einschließlich lokaler und Active Directory-Konten.
- Der Pre-Share-Schlüssel Ihrer VPN-Einstellungen (Remote Access und Site-to-Site-VPN)
- Das Administratorkennwort mit externem Authentifizierungsserver (AD-Server und Radius)
- unbekannte Konten zu entfernen
- Überprüfen Sie alle Benutzerkonten und löschen Sie unautorisierte oder unbekannte Konten.
- Sicherheitsrichtlinien zu prüfen
- Untersuchen Sie Firewall- und Sicherheitsregeln auf unautorisierte Änderungen und stellen Sie sicher, dass sie angemessene Zugriffsbeschränkungen enthalten.
- die Abmeldung von Benutzern und Administratoren zu erzwingen, die nicht erkannt werden.
- Firewall-Regeln zu entfernen, die nicht dazu gedacht sind, den gesamten Zugriff von WAN, SSL-VPN-Zonen oder Any zuzulassen.
- die Firmware zu aktualisieren
- Stellen Sie sicher, dass alle Zyxel-Geräte auf dem neuesten Software-Stand sind.
Generell gilt, dass vom Hersteller nicht mehr mit Sicherheitsaktualisierungen versorgte Produkte ehestmöglich durch noch unterstützte Systeme ersetzt werden sollten. In Anbetracht der Bedrohungslage ist in diesem Fall besondere Dringlichkeit gegeben.
Informationsquelle(n):
Blog von Truesec:
https://www.truesec.com/hub/blog/helldown-ransomware-group
Blog von Sekoia:
https://blog.sekoia.io/helldown-ransomware-an-overview-of-this-emerging-threat/
Artikel vom deutschen Bundesamt für Sicherheit in der Informationstechnik:
https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2024/2024-290907-1032