Falsk passwordmanager fører til ransomware-angreb på VMware ESXi-servere
En trojaniseret version af passwordmanageren KeePass har ført til kompromittering af netværk og efterfølgende ransomware-angreb på VMware ESXi-servere.
Det skriver Bleeping Computer med henvisning til en rapport fra WithSecure, der har afsløret, at trusselsaktører har distribueret en trojaniseret version af KeePass-passwordmanageren i mindst otte måneder. Den falske version, kaldet "KeeLoader", blev promoveret gennem falske Bing-annoncer og hjemmesider, der udgav sig for at være legitime kilder til KeePass.
KeeLoader er fungerer som en fuldt operationel passwordmanager, men indeholder skjult funktionalitet, der installerer en Cobalt Strike-beacon og eksporterer brugerens KeePass-database i klartekst. Denne information sendes derefter til angriberne via beaconen.
Efter installationen af KeeLoader har angriberne brugt de stjålne legitimationsoplysninger og Cobalt Strike til at bevæge sig sidelæns i netværket og til sidst implementeret ransomware på kompromitterede VMware ESXi-servere. Analysen af Cobalt Strike-beaconens water marks indikerer en forbindelse til en initial access broker (IAB), der tidligere er blevet associeret med ransomwareangreb fra Black Basta.
Rapporten fra With Secure har meget passende titlen ” Don’t drop password managers (but password managers shouldn’t drop malware)” i den forståelse, at situationen med Keepass ikke er anledning til at droppe password manager. Men det er naturligvis vigtigt af at være opmærksom på kilden til softwareinstallationer og at verificere ægtheden af downloadede programmer, især når de promoveres gennem onlineannoncer.
De er uklart, hvor anvendt Keepass er i Danmark og i verden. Det hedder sig, at KeePass i årevis ligget blandt de mest anbefalede password managers i open source-miljøer. Bl.a. nævner den officielle KeePass-side millioner af downloads, og KeePass 2.x-versionen er aktivt vedligeholdt. Og i diverse fora har KeePass opnået tusindvis af stjerner/downloads. KeePass skal efter det oplyste mest være anvendt i tekniske miljøer.