Die berüchtigte Ransomware-Gruppe TellYouThePass nutzt eine kritische Remote Code Execution (RCE)-Schwachstelle in PHP aus, um Server zu kompromittieren und ihre schädlichen Payloads zu verbreiten.

Die Sicherheitslücke, erfasst unter der Kennung CVE-2024-4577, ermöglicht es nicht authentifizierten Angreifern, willkürlichen Code auf anfälligen PHP-Installationen auszuführen.

Forscher von Imperva haben entdeckt, dass die Betreiber der TellYouThePass Ransomware begonnen haben, diesen hochgradigen PHP-Bug nur wenige Stunden nach der Veröffentlichung eines Proof-of-Concept (PoC) Exploits am 10. Juni 2024 auszunutzen.

Die Angreifer zielen darauf ab, exponierte PHP-Server zu infiltrieren, um einen ersten Zugriff zu erhalten und sich dann seitlich durch die Netzwerke der Opfer zu bewegen, bevor sie Dateien verschlüsseln und Lösegeldforderungen stellen.

Dringender Handlungsbedarf

„Die schnelle Waffenfähigkeit der CVE-2024-4577 durch die TellYouThePass Ransomware-Gruppe unterstreicht die dringende Notwendigkeit für Organisationen, ihre PHP-Deployments unverzüglich zu patchen“, warnte das Imperva-Forschungsteam. „Wir erwarten, dass auch andere Bedrohungsakteure diesen Exploit schnell in ihre Angriffsketten integrieren werden.“

PHP-Entwickler haben Sicherheitsupdates zur Behebung der RCE-Schwachstelle in den Versionen 8.2.7, 8.1.19 und 7.4.33 veröffentlicht. Systemadministratoren werden dringend aufgefordert, ihre PHP-Installationen auf die neuesten gepatchten Releases zu aktualisieren, um das Risiko eines Kompromisses zu mindern.

Die TellYouThePass Ransomware trat erstmals Ende 2021 in Erscheinung, als sie die berüchtigte Log4Shell-Schwachstelle ausnutzte, um Windows- und Linux-Systeme zu infizieren.

Im Jahr 2022 wurde die Malware in der Programmiersprache Go neu geschrieben, was es den Betreibern ermöglichte, einfacher mehrere Betriebssysteme, einschließlich macOS, anzugreifen.

Zuletzt, im November 2023, wurde TellYouThePass dabei beobachtet, wie sie eine kritische RCE-Schwachstelle (CVE-2023-46604) in Apache ActiveMQ Message Broker-Servern ausnutzte, um Opferdaten zu durchdringen und zu verschlüsseln.

Sicherheitsforscher von Arctic Wolf fanden Beweise, die die TellYouThePass-Gang mit Angriffen der HelloKitty Ransomware in Verbindung bringen, die dieselbe ActiveMQ-Schwachstelle ausnutzten.

Mit dieser neuesten Kampagne zur Ausnutzung von PHP setzt die TellYouThePass Ransomware-Gruppe ihre Fähigkeit fort, neu offenbarte Schwachstellen schnell in ihr Angriffsrepertoire zu integrieren.

Organisationen, die PHP in ihren Umgebungen einsetzen, müssen das Patchen der CVE-2024-4577 priorisieren, um sich gegen diese sich entwickelnden Ransomware-Bedrohungen zu verteidigen.