17.12.21 Log4j-Lücke: Erste Angriffe mit Ransomware und von staatlichen Akteuren

Ein Großteil der Angriffe auf die Lücke seien immer noch allgemeine Scans auf Verwundbarkeit durch Sicherheitsforscher, aber auch durch Cyberkriminelle. Doch deren schiere Anzahl nimmt bereits etwas ab. Doch das bedeutet keine Entwarnung. Der Content-Delivery-Netzwerk-Spezialist Akamai vermeldet, dass deren Systeme stündlich 250.000 Angriffsversuche auf die CVE-2021-44228-Lücke feststellen. Das Unternehmen geht davon aus, dass uns solche Attacken noch monatelang begleiten werden.

Staatliche Akteure

Microsofts Analysten schreiben zudem, dass von ihnen beobachtete staatliche Gruppen aus China, dem Iran, Nordkorea und der Türkei die Lücke ebenfalls untersuchen. Die Aktivitäten reichten von Experimenten in der Entwicklung, über das Integrieren der Schwachstelle in den in freier Wildbahn genutzten Exploit-Baukasten hin zum direkten Ausnutzen der Lücke, um die verfolgten Ziele der Angreifer zu erreichen.
Die iranische Gruppierung Phosphorus habe etwa Ransomware auf anfällige Server installiert. Hafnium, eine chinesisch-staatliche Gruppe, habe eher Virtualisierungsinfrastruktur im Blick und nutze einen DNS-Dienst, um Aktivitäten auszuforschen.

Ransomware als Dienstleistung

Weitere Gruppen aus dem Bereich Ransomware-as-a-Service seien dabei beobachtet worden, dass sie durch die Log4j-Lücke initiale Zugänge zu den Netzwerken ergatterten. Anschließend böten sie Zugänge anderen Gruppen an. Microsoft habe dabei Angriffe sowohl auf Linux-, als auch auf Windows-Systeme gesehen und geht davon aus, dass mehr von Menschen manuell gesteuerte Ransomware-Angriffe zu erwarten seien.

Des Weiteren haben Cybergangs ihre kriminellen Aktivitäten angepasst. Das Mirai-Botnetz installiere via Log4Shell Krypto-Miner sowie die Tsunami-Backdoor auf Linux-Server. Die Angriffe zielten sowohl auf Windows-, als auch auf Linux-Systeme. Die Base64-codierten Befehle in der manipulierten JDNI://ldap-Anfrage starteten Bash-Befehle unter Linux und Powershell in Windows.

Zudem haben Forscher Angriffe gesehen, bei denen kein Schadcode eingeschleust wurde, sondern lediglich Informationen abflossen. Das könne auf Netzwerkgeräten mit SSL-Verschlüsselung zum Ausspähen von geheimen Informationen und Daten genutzt werden.

Mandiant hat ebenfalls staatliche kontrollierte Angriffe von Gruppen aus dem Iran und China gesehen und bestätigt Microsofts Beobachtungen. In einigen Fällen arbeiteten die Gruppen schon ihre Listen von Zielen ab. In anderen würden sie zunächst einbrechen, um gegebenenfalls später bei einer Beauftragung weiter vorzudringen. Das IT-Sicherheitsunternehmen erwartet eine Zunahme an bösartigen staatlichen Aktivitäten.

Zwischenbilanz

Die Bedrohungslage ist sehr ernst. Cyberkriminelle machen umfassend verwundbare Systeme ausfindig und greifen sie an. Administratoren und Sicherheitsverantwortliche müssen ihnen möglichst zuvorkommen und rasch angreifbare Systeme identifizieren und absichern. Ähnlich einer Schutzimpfung gilt es abzuwägen, was gegebenenfalls schlimmere Auswirkungen hat: Das Update mit möglicherweise kurzen Systemausfällen – vergleichbar mit der Impfung, oder der längerfristige Ausfall etwa durch Ransomware-Befall mit möglicherweise noch schlimmeren Folgen, analog dem Durchmachen der Krankheit.

Das github-Repository der CISA mit der Liste verwundbarer Systeme und Anwendungen ist inzwischen Prall gefüllt. Unzählige Anwendungen sind dort mit Status verwundbar, nicht betroffen oder etwa in Untersuchung versammelt; zudem mit Link auf entsprechende Hersteller-Sicherheitsmeldungen. Für IT-Verantwortliche eine sehr nützliche Handreichung, um schnell einen ersten Überblick zu erhalten, ob sie verwundbare Systeme einsetzen und aktualisieren müssen.