In der ersten Hälfte dieses Jahres gab es so viele Ransomware-Angriffe auf Unternehmen wie noch nie zuvor, und der Trend dürfte sich noch weiter fortsetzen. Der seit Jahren auf Security spezialisierte Journalist Catalin Cimpanu von 'ZDnet' hat verschiedene Srudien von Security-Experten zusammengetragen. Darauf basierend hat Cimpanu einen lesenswerten Bericht darüber verfasst, welche Schwachstellen gegenwärtig am häufigsten von Ransomware-Gruppen ausgenützt werden. Seine Quellen sind Security-Unternehmen wie Coveware, Emsisoft, SenseCy oder Recorded Future. 

Laut Cimpanu sind direkte Angriffe auf das Remote Desktop Protocol (RDP) die unter Ransomware-Gruppen mit Abstand beliebteste Methode, um in die Systeme von Unternehmen einzudringen, gefolgt von Phishing. Schwachstellen in VPN-Systemen sind ein weiterer Angriffsvektor, der in letzter Zeit in Mode gekommen ist.

Gemäss Cimpanu hat RDP Phishing als Hauptangriffsvektor überholt, seitdem die Gruppen nicht mehr Heimanwender, sondern vor allem Unternehmen angreifen.

RDP ist gleichzeitig schon seit langem ein beliebtes Angriffsziel für andere Hacker. Es gebe schon seit einiger Zeit Cyberkriminelle, die sich auf das Knacken von RDP-Endpoints spezialisiert haben. Sie suchen im Internet nach Computern mit offenen RDP-Ports und versuchen dann, mit Brute-Force-Angriffen die entsprechenden Login-Daten herauszufinden. Sind sie erfolgreich, verkaufen sie die Daten der kompromittierten Endpoints in sogenannten RDP-Shops.

Für Ransomware-Banden, so Cimpanu, war das Vorhandensein dieser Shops ein Glücksfall. Heutzutage seien sie die Hauptkunden der "RDP-Knacker".

Phishing via E-Mail wird als Angriffsmethode weiterhin verwendet, bei Angriffen auf Unternehmen hauptsächlich in der Variante Spear-Phishing, die gezielt bestimmte Individuen aufs Korn nimmt. Die Verwendung von Phishing scheint ungefähr konstant zu bleiben.

Eine Angriffsvariante, die laut Cimpanu gegenwärtig aber schnell beliebter wird, ist das Ausnutzen von Schwachstellen in VPN-Systemen.

Seit dem Sommer 2019 sind eine ganze Reihe von Sicherheitslücken in VPN-Appliances von Top-Anbietern wie Pulse Secure, Palo Alto Networks, Fortinet, Citrix, Secureworks, oder F5 gefunden worden. Nachdem dann auch noch Exploit-Code veröffentlicht wurde, begannen Ransomware-Gruppen damit, ungepatchte VPN-Appliances in Unternehmen als Einfallstor für ihre Angriffe zu nützen. Die beiden beliebtesten Angriffsziele waren dabei gemäss Cimpanu VPN-Server von Pulse Secure sowie Network Gateways von Citrix.