Ransomware attackiert VPN und RDP

Ransomware-Angriffe auf Unternehmen, mit denen Lösegeld erpresst werden soll, haben in der ersten Hälfte des Jahres 2020 einen historischen Höchststand erreicht. Jede Hacker-Gruppe hat ihre eigenen Methoden, doch die meisten Lösegeld-Vorfälle im 1. Halbjahr 2020 lassen sich auf eine Handvoll Angriffsvektoren zurückführen. Die drei beliebtesten sind ungesicherte RDP-Endpunkte und VPN-Appliances sowie E-Mail-Phishing.

An der Spitze dieser Liste steht das Remote Desktop Protocol (RDP). Berichte von Coveware, Emsisoft und Recorded Future weisen RDP eindeutig als den beliebtesten Eindringvektor und die Quelle der meisten Lösegeldvorfälle im Jahr 2020 aus.

„Heute gilt das RDP als der größte einzelne Angriffsvektor für Lösegeldforderungen“, erklärte das Cyber-Sicherheitsunternehmen Emsisoft im vergangenen Monat im Rahmen eines Leitfadens zur Sicherung von RDP-Endpunkten gegen Lösegeld-Banden.

Die Statistiken von Coveware bestätigen diese Einschätzung ebenfalls; das Unternehmen stuft RDP als den beliebtesten Einstiegspunkt für die in diesem Jahr untersuchten Lösegeldvorfälle ein. Darüber hinaus belegen die Spitzenstellung von RDP Daten des Bedrohungsinformationsunternehmens Recorded Future.

„Das Remote Desktop Protocol (RDP) ist derzeit mit großem Abstand der häufigste Angriffsvektor, der von Hackern benutzt wird, um Zugang zu Windows-Computern zu erhalten und Ransomware und andere Malware zu installieren“, schrieb Allan Liska, Experte für Bedrohungsintelligenz bei Recorded Future, in einem in der vergangenen Woche veröffentlichten Bericht.

Das liegt nicht nur, daran dass im Homeoffice RDP stärker genutzt wird, sondern dieser Trend ist schon seit einem Jahr zu beobachten. Erpresser nehmen weniger Privatkunden ins Visier, sondern gehen stattdessen massenhaft auf Unternehmen los.

RDP ist heute die Spitzentechnologie für die Verbindung zu entfernten Systemen, und es gibt Millionen von Computern mit RDP-Ports, die online zugänglich sind, was RDP zu einem riesigen Angriffsvektor für alle Arten von Cyberkriminellen macht, nicht nur für Lösegeld-Banden.

Heute gibt es Cyberkriminalitätsbanden, die sich darauf spezialisiert haben, das Internet nach RDP-Endpunkten zu durchsuchen und dann Brute-Force-Angriffe gegen diese Systeme durchzuführen, um ihre jeweiligen Zugangsdaten zu erraten.

Systeme, die schwache Benutzernamen- und Passwort-Kombinationen verwenden, werden kompromittiert und dann in so genannten „RDP-Shops“ zum Verkauf angeboten, von wo aus sie von verschiedenen Cyberkriminellen gekauft werden. Diese RDP-Shops gibt es schon seit Jahren, und sie sind nichts Neues.

Als jedoch im vergangenen Jahr Lösegelderpresser von der Zielgruppe der Privatkunden auf Unternehmen umgestiegen sind, fanden die Hacker in diesen Läden einen leicht zugänglichen Pool von gefährdeten RDP-Systemen.

Heute sind diese Banden die größten Kunden von RDP-Shops, und einige Shop-Betreiber haben sogar ihre Shops geschlossen, um ausschließlich mit Lösegeld-Banden zusammenzuarbeiten, oder sind Kunden von Ransomware-as-a-Service (RaaS)-Portalen geworden, um ihre Sammlung gehackter RDP-Systeme selbst zu Geld zu machen.

Im Jahr 2020 ist aber auch ein weiterer wichtiger Vektor für das Eindringen von Lösegeldern in Unternehmensnetzwerke aufgekommen, nämlich die Nutzung von Virtual Private Networks (VPN) Appliances und anderen ähnlichen Netzwerkgeräten.

Seit dem Sommer 2019 wurden mehrere schwerwiegende Schwachstellen in VPN-Appliances der wichtigsten Anbieter aufgedeckt, darunter Pulse Secure, Palo Alto Networks, Fortinet, Citrix, Secureworks und F5.

Sobald Proof-of-Concept-Angriffscode für eine dieser Schwachstellen öffentlich wurde, begannen Hacker-Gruppen die Fehler auszunutzen, um Zugang zu Unternehmensnetzwerken zu erhalten. Was die Hacker mit diesem Zugang taten, variierte je nach Spezialisierung der einzelnen Gruppen.

Einige Gruppen betrieben Cyber-Spionage auf nationaler Ebene, einige Gruppen waren in Finanzkriminalität und IP-Diebstahl verwickelt, während andere Gruppen den Ansatz der RDP Shops verfolgten und den Zugang an andere Banden weiterverkauften.

Während im vergangenen Jahr einige wenige Fälle von Lösegeldforderungen unter Verwendung dieses Vektors gemeldet wurden, war es im Jahr 2020, als wir eine zunehmende Zahl von Lösegeldgruppen sahen, die gehackte VPN-Geräte als Einstiegspunkt in Unternehmensnetzwerke verwendeten.

Im Laufe des Jahres 2020 stiegen die VPNs schnell als heißer neuer Angriffsvektor unter den Lösegeld-Banden an, wobei Citrix-Netzwerk-Gateways und Pulse Secure VPN-Server laut einem letzte Woche von SenseCy veröffentlichten Bericht ihre bevorzugten Ziele waren.

SenseCy hat beobachtet, dass Banden wie REvil (Sodinokibi), Ragnarok, DoppelPaymer, Maze, CLOP und Nefilim die Citrix-Systeme, die für den Fehler CVE-2019-19781 anfällig sind, als Einstiegspunkt für ihre Angriffe nutzen.

In ähnlicher Weise haben laut SenseCy Lösegeld-Gruppen wie REvil und Black Kingdom Pulse Secure VPNs, die nicht für den Fehler CVE-2019-11510 gepatcht wurden, zum Angriff auf ihre Ziele genutzt.

Laut Recorded Future ist der jüngste Eintrag auf dieser Liste die NetWalker-Bande, die offenbar begonnen hat, Pulse Secure-Systeme ins Visier zu nehmen, um ihre Nutzlasten in Unternehmens- oder Regierungsnetzwerken einzusetzen, wo diese Systeme installiert sein könnten.

Es ist also dringend notwendig, dass Administratoren diese Vektoren genau beobachten, Systeme patchen und Sicherheitsupdates installieren.

Es ist eine Sache, wenn ein Angestellter einer geschickt getarnten Spear-Phishing-E-Mail zum Opfer fällt, und eine andere Sache, wenn Sie Ihr VPN oder Ihre Netzwerkausrüstung mehr als ein Jahr lang nicht mehr patchen oder Admin/Admin als Ihre RDP-Zugangsdaten verwenden.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

ZDNet.de Redaktion

Recent Posts

CopyRhadamantys greift weltweit Unternehmen an

Ausgeklügelte Phishing-Kampagne verwendet eine weiterentwickelte Version der Rhadamanthys-Stealer-Malware.

2 Tagen ago

Facebook Marketplace: EU verhängt Geldbuße von fast 800 Millionen Euro gegen Meta

Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…

3 Tagen ago

Umfrage: Angestellte in Deutschland unterschätzen NIS-2-Richtlinie

Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…

3 Tagen ago

Kostenloser Dekryptor für ShrinkLocker

Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.

4 Tagen ago

Malwarebytes warnt vor Betrugsmaschen beim Weihnachtseinkauf

In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…

4 Tagen ago

Bedrohungsindex: Deutliche Zunahme von Infostealern im Oktober

Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.

4 Tagen ago