Ransomware-Banden: Wie sie am häufigsten eindringen

24. August 2020 um 12:38
  • security
  • cybercrime
  • international
  • lücke
image

Der mit Abstand meistgenutzte Angriffsvektor ist RDP.

In der ersten Hälfte dieses Jahres gab es so viele Ransomware-Angriffe auf Unternehmen wie noch nie zuvor, und der Trend dürfte sich noch weiter fortsetzen. Der seit Jahren auf Security spezialisierte Journalist Catalin Cimpanu von 'ZDnet' hat verschiedene Srudien von Security-Experten zusammengetragen. Darauf basierend hat Cimpanu einen lesenswerten Bericht darüber verfasst, welche Schwachstellen gegenwärtig am häufigsten von Ransomware-Gruppen ausgenützt werden. Seine Quellen sind Security-Unternehmen wie Coveware, Emsisoft, SenseCy oder Recorded Future. 
Laut Cimpanu sind direkte Angriffe auf das Remote Desktop Protocol (RDP) die unter Ransomware-Gruppen mit Abstand beliebteste Methode, um in die Systeme von Unternehmen einzudringen, gefolgt von Phishing. Schwachstellen in VPN-Systemen sind ein weiterer Angriffsvektor, der in letzter Zeit in Mode gekommen ist.
Gemäss Cimpanu hat RDP Phishing als Hauptangriffsvektor überholt, seitdem die Gruppen nicht mehr Heimanwender, sondern vor allem Unternehmen angreifen.
RDP ist gleichzeitig schon seit langem ein beliebtes Angriffsziel für andere Hacker. Es gebe schon seit einiger Zeit Cyberkriminelle, die sich auf das Knacken von RDP-Endpoints spezialisiert haben. Sie suchen im Internet nach Computern mit offenen RDP-Ports und versuchen dann, mit Brute-Force-Angriffen die entsprechenden Login-Daten herauszufinden. Sind sie erfolgreich, verkaufen sie die Daten der kompromittierten Endpoints in sogenannten RDP-Shops.
Für Ransomware-Banden, so Cimpanu, war das Vorhandensein dieser Shops ein Glücksfall. Heutzutage seien sie die Hauptkunden der "RDP-Knacker".

VPNs als "neues RDP"?

Phishing via E-Mail wird als Angriffsmethode weiterhin verwendet, bei Angriffen auf Unternehmen hauptsächlich in der Variante Spear-Phishing, die gezielt bestimmte Individuen aufs Korn nimmt. Die Verwendung von Phishing scheint ungefähr konstant zu bleiben.
Eine Angriffsvariante, die laut Cimpanu gegenwärtig aber schnell beliebter wird, ist das Ausnutzen von Schwachstellen in VPN-Systemen.
Seit dem Sommer 2019 sind eine ganze Reihe von Sicherheitslücken in VPN-Appliances von Top-Anbietern wie Pulse Secure, Palo Alto Networks, Fortinet, Citrix, Secureworks, oder F5 gefunden worden. Nachdem dann auch noch Exploit-Code veröffentlicht wurde, begannen Ransomware-Gruppen damit, ungepatchte VPN-Appliances in Unternehmen als Einfallstor für ihre Angriffe zu nützen. Die beiden beliebtesten Angriffsziele waren dabei gemäss Cimpanu VPN-Server von Pulse Secure sowie Network Gateways von Citrix.

Loading

Mehr erfahren

Mehr zum Thema

image

Richtig priorisieren für den Desasterfall

aspectra steht für den sicheren und hochverfügbaren Betrieb von geschäftskritischen Anwendungen. In einem aktuellen Kundenprojekt stand ein möglichst geringes RPO im Zentrum. Welche Lösung konnte die hohen Anforderungen von Near-Zero-RPO erfüllen?

image

Ticketmaster-Hacker bieten Tickets für Taylor Swift an

Die Hacker stellen Barcodes für hunderttausende Tickets für die Eras-Tour ins Netz. Weitere sollen folgen, wenn Ticketmaster kein Lösegeld bezahlt.

publiziert am 8.7.2024 1
image

Krypto-Börse Lykke auf dem Weg zur Besserung

Der Schweizer Handelsplattform wurden über 20 Millionen Dollar an Krypto-Währungen gestohlen. Derzeit arbeitet das Unternehmen an der Wiederbeschaffung.

publiziert am 8.7.2024
image

Cyber-Defence Campus des Bundes liefert tiefe Einblicke in KI und Security

Eine ausführliche Studie beleuchtet Risiken und Herausforderungen, die durch den Einsatz von generativer KI in der Cybersicherheit entstehen, und liefert Lösungsansätze.

publiziert am 5.7.2024