CISA warnt vor hartnäckiger Ivanti-Malware RESURGE

Die US-Cybersicherheitsbehörde CISA warnt eindringlich vor der hochgefährlichen Schadsoftware RESURGE, die unentdeckt in Tausenden Unternehmensnetzwerken lauern könnte. Besonders betroffen sind kritische Infrastrukturen, die auf die angegriffenen Ivanti Connect Secure-Geräte angewiesen sind. Die Malware überlebt selbst System-Updates und Patches.

Angesichts hochkomplexer Bedrohungen wie RESURGE stehen viele Unternehmen vor der Herausforderung, ihre Sicherheitsstrategie grundlegend zu modernisieren. Dieser Experten-Report zeigt mittelständischen Unternehmen effektive Strategien auf, wie sie sich ohne Budget-Explosion gegen Cyberkriminelle wappnen können. Effektive Sicherheitsstrategien im Experten-Report entdecken

Ein Chamäleon der Cyber-Bedrohung

Bei RESURGE handelt es sich nicht um einfache Schadsoftware, sondern um ein vielschichtiges Implantat. Es kombiniert die Fähigkeiten eines Rootkits, Backdoors, Bootkits und Tunnelers in einem einzigen Paket. Angreifer erhalten damit umfassende Kontrolle über kompromittierte Geräte.

Die Malware baut auf einem Vorgänger namens SPAWNCHIMERA auf und wird oft mit weiteren Werkzeugen eingesetzt. Dazu gehört etwa SPAWNSLOTH, das Geräteprotokolle manipuliert und löscht, um die Spuren der Attacke zu verwischen. Ein weiteres Werkzeug kann sogar Coreboot-Images manipulieren, um die Persistenz der Malware zu garantieren.

Einmal installiert, ermöglicht RESURGE Angreifern das Auslesen von Zugangsdaten, die Erstellung neuer Benutzerkonten und das Zurücksetzen von Passwörtern. Besonders tückisch: Die Malware nistet sich tief im Systemstart-Prozess ein und wird vor nahezu allen legitimen Programmen geladen. Das macht eine Entdeckung und Entfernung extrem schwierig.

Das Einfallstor: Kritische Ivanti-Schwachstelle

Der Haupteinfallsweg für RESURGE ist eine kritische Sicherheitslücke in Ivanti-Produkten, bekannt als CVE-2025-0282. Dabei handelt es sich um einen Pufferüberlauf in Ivanti Connect Secure, Policy Secure und ZTA Gateway – alles Produkte, die weltweit für sicheren Fernzugriff genutzt werden.

Die Schwachstelle wurde laut dem Sicherheitsunternehmen Mandiant bereits ab Dezember 2024 als Zero-Day-Exploit ausgenutzt, also bevor ein Patch verfügbar war. Die dahinterstehende Angreifergruppe wird als UNC5221 geführt und soll Verbindungen zu China haben. Da Ivanti-Geräte oft als Gateway zum gesamten internen Netzwerk dienen, kann ein erfolgreicher Angriff zu einem flächendeckenden Datenverlust führen.

Dass selbst gepatchte Systeme wie bei Ivanti zum Ziel werden können, unterstreicht die Notwendigkeit einer proaktiven IT-Sicherheit. Erfahren Sie in diesem kostenlosen Leitfaden, wie Sie Ihr Unternehmen mit einfachen, aber wirkungsvollen Maßnahmen schützen können, ohne teure neue Mitarbeiter einzustellen. Kostenlosen Leitfaden zur IT-Sicherheit herunterladen

Tarnkappen-Technik auf Netzwerkebene

Besonders besorgniserregend sind die neuen Erkenntnisse von CISA zur Netzwerk-Tarnung von RESURGE. Die Malware bleibt über lange Zeiträume inaktiv und erwacht erst, wenn ein Angreifer eine Verbindung initiiert. So entgeht sie routinemäßigen Sicherheitsscans.

Für ihre Tarnung nutzt RESURGE fortschrittliche kryptografische Methoden und gefälschte TLS-Zertifikate, um ihre Kommunikation mit den Angreifern zu verschleiern. Die Malware etabliert einen gegenseitigen TLS-Authentifizierungsprozess und tarnt ihre Aktivitäten in scheinbar legitimen, verschlüsselten Datenströmen.

Was Unternehmen jetzt tun müssen

Die Hartnäckigkeit von RESURGE stellt Netzwerk-Verteidiger vor enorme Herausforderungen. Das Standardvorgehen – das Einspielen von Sicherheitspatches – reicht bei bereits kompromittierten Geräten nicht aus.

CISA empfiehlt drastische Maßnahmen: Betroffene Organisationen sollten eine komplette Werksrücksetzung durchführen und das System aus einer verifizierten, sauberen Software-Image neu aufbauen. Zudem müssen alle Zugangsdaten zurückgesetzt werden, sowohl für privilegierte als auch für normale Konten.

Besonders kritisch ist das Zurücksetzen des Kerberos Ticket Granting Ticket-Accounts (krbtgt), und zwar zweimal, um die Passworthistorie vollständig zu löschen. Langfristig müssen Unternehmen auf mehrschichtige Verteidigungsstrategien setzen, die kontinuierliche Endpunkt-Überwachung und Verhaltensanalysen umfassen. Herkömmliche, signaturbasierte Sicherheitstools sind gegen solche fortschrittlichen Bedrohungen oft machtlos.

boerse | 68632684 |