Der Eintrag "offcanvas-col1" existiert leider nicht.

Der Eintrag "offcanvas-col2" existiert leider nicht.

Der Eintrag "offcanvas-col3" existiert leider nicht.

Der Eintrag "offcanvas-col4" existiert leider nicht.

Ransomware attackiert VPN und RDP
30.09.2020 02:23

Ransomware attackiert VPN und RDP

Ransomware wird immer gefährlicher. Hacker nutzen vor allem das Remote Desktop Protocol (RDP), und Virtual Private Networks (VPN) als Einfallstore. E-Mail-Phishing verliert dagegen an Bedeutung.

Ransomware-Angriffe auf Unternehmen, mit denen Lösegeld erpresst werden soll, haben in der ersten Hälfte des Jahres 2020 einen historischen Höchststand erreicht. Jede Hacker-Gruppe hat ihre eigenen Methoden, doch die meisten Lösegeld-Vorfälle im 1. Halbjahr 2020 lassen sich auf eine Handvoll Angriffsvektoren zurückführen. Die drei beliebtesten sind ungesicherte RDP-Endpunkte und VPN-Appliances sowie E-Mail-Phishing.

An der Spitze dieser Liste steht das Remote Desktop Protocol (RDP). Berichte von Coveware, Emsisoft und Recorded Future weisen RDP eindeutig als den beliebtesten Eindringvektor und die Quelle der meisten Lösegeldvorfälle im Jahr 2020 aus. „Heute gilt das RDP als der größte einzelne Angriffsvektor für Lösegeldforderungen“, erklärte das Cyber-Sicherheitsunternehmen Emsisoft im vergangenen Monat im Rahmen eines Leitfadens zur Sicherung von RDP-Endpunkten gegen Lösegeld-Banden.

Die Statistiken von Coveware bestätigen diese Einschätzung ebenfalls; das Unternehmen stuft RDP als den beliebtesten Einstiegspunkt für die in diesem Jahr untersuchten Lösegeldvorfälle ein. Darüber hinaus belegen die Spitzenstellung von RDP Daten des Bedrohungsinformationsunternehmens Recorded Future. „Das Remote Desktop Protocol (RDP) ist derzeit mit großem Abstand der häufigste Angriffsvektor, der von Hackern benutzt wird, um Zugang zu Windows-Computern zu erhalten und Ransomware und andere Malware zu installieren“, schrieb Allan Liska, Experte für Bedrohungsintelligenz bei Recorded Future, in einem in der vergangenen Woche veröffentlichten Bericht.

Das liegt nicht nur, daran dass im Homeoffice RDP stärker genutzt wird, sondern dieser Trend ist schon seit einem Jahr zu beobachten. Erpresser nehmen weniger Privatkunden ins Visier, sondern gehen stattdessen massenhaft auf Unternehmen los. RDP ist heute die Spitzentechnologie für die Verbindung zu entfernten Systemen, und es gibt Millionen von Computern mit RDP-Ports, die online zugänglich sind, was RDP zu einem riesigen Angriffsvektor für alle Arten von Cyberkriminellen macht, nicht nur für Lösegeld-Banden.

Heute gibt es Cyberkriminalitätsbanden, die sich darauf spezialisiert haben, das Internet nach RDP-Endpunkten zu durchsuchen und dann Brute-Force-Angriffe gegen diese Systeme durchzuführen, um ihre jeweiligen Zugangsdaten zu erraten. Systeme, die schwache Benutzernamen- und Passwort-Kombinationen verwenden, werden kompromittiert und dann in so genannten „RDP-Shops“ zum Verkauf angeboten, von wo aus sie von verschiedenen Cyberkriminellen gekauft werden. Diese RDP-Shops gibt es schon seit Jahren, und sie sind nichts Neues.

Als jedoch im vergangenen Jahr Lösegelderpresser von der Zielgruppe der Privatkunden auf Unternehmen umgestiegen sind, fanden die Hacker in diesen Läden einen leicht zugänglichen Pool von gefährdeten RDP-Systemen. Heute sind diese Banden die größten Kunden von RDP-Shops, und einige Shop-Betreiber haben sogar ihre Shops geschlossen, um ausschließlich mit Lösegeld-Banden zusammenzuarbeiten, oder sind Kunden von Ransomware-as-a-Service (RaaS)-Portalen geworden, um ihre Sammlung gehackter RDP-Systeme selbst zu Geld zu machen.

Im Jahr 2020 ist aber auch ein weiterer wichtiger Vektor für das Eindringen von Lösegeldern in Unternehmensnetzwerke aufgekommen, nämlich die Nutzung von Virtual Private Networks (VPN) Appliances und anderen ähnlichen Netzwerkgeräten. Seit dem Sommer 2019 wurden mehrere schwerwiegende Schwachstellen in VPN-Appliances der wichtigsten Anbieter aufgedeckt, darunter Pulse Secure, Palo Alto Networks, Fortinet, Citrix, Secureworks und F5.

Sobald Proof-of-Concept-Angriffscode für eine dieser Schwachstellen öffentlich wurde, begannen Hacker-Gruppen die Fehler auszunutzen, um Zugang zu Unternehmensnetzwerken zu erhalten. Was die Hacker mit diesem Zugang taten, variierte je nach Spezialisierung der einzelnen Gruppen. Einige Gruppen betrieben Cyber-Spionage auf nationaler Ebene, einige Gruppen waren in Finanzkriminalität und IP-Diebstahl verwickelt, während andere Gruppen den Ansatz der RDP Shops verfolgten und den Zugang an andere Banden weiterverkauften.

Während im vergangenen Jahr einige wenige Fälle von Lösegeldforderungen unter Verwendung dieses Vektors gemeldet wurden, war es im Jahr 2020, als wir eine zunehmende Zahl von Lösegeldgruppen sahen, die gehackte VPN-Geräte als Einstiegspunkt in Unternehmensnetzwerke verwendeten. Im Laufe des Jahres 2020 stiegen die VPNs schnell als heißer neuer Angriffsvektor unter den Lösegeld-Banden an, wobei Citrix-Netzwerk-Gateways und Pulse Secure VPN-Server laut einem letzte Woche von SenseCy veröffentlichten Bericht ihre bevorzugten Ziele waren.

SenseCy hat beobachtet, dass Banden wie REvil (Sodinokibi), Ragnarok, DoppelPaymer, Maze, CLOP und Nefilim die Citrix-Systeme, die für den Fehler CVE-2019-19781 anfällig sind, als Einstiegspunkt für ihre Angriffe nutzen. In ähnlicher Weise haben laut SenseCy Lösegeld-Gruppen wie REvil und Black Kingdom Pulse Secure VPNs, die nicht für den Fehler CVE-2019-11510 gepatcht wurden, zum Angriff auf ihre Ziele genutzt.

Laut Recorded Future ist der jüngste Eintrag auf dieser Liste die NetWalker-Bande, die offenbar begonnen hat, Pulse Secure-Systeme ins Visier zu nehmen, um ihre Nutzlasten in Unternehmens- oder Regierungsnetzwerken einzusetzen, wo diese Systeme installiert sein könnten.

Es ist also dringend notwendig, dass Administratoren diese Vektoren genau beobachten, Systeme patchen und Sicherheitsupdates installieren. Es ist eine Sache, wenn ein Angestellter einer geschickt getarnten Spear-Phishing-E-Mail zum Opfer fällt, und eine andere Sache, wenn Sie Ihr VPN oder Ihre Netzwerkausrüstung mehr als ein Jahr lang nicht mehr patchen oder Admin/Admin als Ihre RDP-Zugangsdaten verwenden.

Quelle: zdnet.de

Zurück

Qualifikation und Leistungsspektrum

Serviceplattform für Cybersecurity und Cyberawareness
Serviceplattform zur Haftungsvermeidung der Organschaft

Dozent der CAk, Berlin
Mitglied im Fachverband der Cyberberater Deutschland
Grundschutz Praktiker des BSI, Bonn

Certified Risk-Manager DIN Norm 31000
Certified Cyberrisk-Manager

Kontakt

HARTMUT NAUJOK
Hauptstraße 69
D-27478 Cuxhaven

Filialniederlassung

HARTMUT NAUJOK
Unterste Kamp 1
D-42549 Velbert