Ransomware-Banden: Wie sie am häufigsten eindringen

24. August 2020, 12:38
  • security
  • cybercrime
  • international
  • lücke
image

Der mit Abstand meistgenutzte Angriffsvektor ist RDP.

In der ersten Hälfte dieses Jahres gab es so viele Ransomware-Angriffe auf Unternehmen wie noch nie zuvor, und der Trend dürfte sich noch weiter fortsetzen. Der seit Jahren auf Security spezialisierte Journalist Catalin Cimpanu von 'ZDnet' hat verschiedene Srudien von Security-Experten zusammengetragen. Darauf basierend hat Cimpanu einen lesenswerten Bericht darüber verfasst, welche Schwachstellen gegenwärtig am häufigsten von Ransomware-Gruppen ausgenützt werden. Seine Quellen sind Security-Unternehmen wie Coveware, Emsisoft, SenseCy oder Recorded Future. 
Laut Cimpanu sind direkte Angriffe auf das Remote Desktop Protocol (RDP) die unter Ransomware-Gruppen mit Abstand beliebteste Methode, um in die Systeme von Unternehmen einzudringen, gefolgt von Phishing. Schwachstellen in VPN-Systemen sind ein weiterer Angriffsvektor, der in letzter Zeit in Mode gekommen ist.
Gemäss Cimpanu hat RDP Phishing als Hauptangriffsvektor überholt, seitdem die Gruppen nicht mehr Heimanwender, sondern vor allem Unternehmen angreifen.
RDP ist gleichzeitig schon seit langem ein beliebtes Angriffsziel für andere Hacker. Es gebe schon seit einiger Zeit Cyberkriminelle, die sich auf das Knacken von RDP-Endpoints spezialisiert haben. Sie suchen im Internet nach Computern mit offenen RDP-Ports und versuchen dann, mit Brute-Force-Angriffen die entsprechenden Login-Daten herauszufinden. Sind sie erfolgreich, verkaufen sie die Daten der kompromittierten Endpoints in sogenannten RDP-Shops.
Für Ransomware-Banden, so Cimpanu, war das Vorhandensein dieser Shops ein Glücksfall. Heutzutage seien sie die Hauptkunden der "RDP-Knacker".

VPNs als "neues RDP"?

Phishing via E-Mail wird als Angriffsmethode weiterhin verwendet, bei Angriffen auf Unternehmen hauptsächlich in der Variante Spear-Phishing, die gezielt bestimmte Individuen aufs Korn nimmt. Die Verwendung von Phishing scheint ungefähr konstant zu bleiben.
Eine Angriffsvariante, die laut Cimpanu gegenwärtig aber schnell beliebter wird, ist das Ausnutzen von Schwachstellen in VPN-Systemen.
Seit dem Sommer 2019 sind eine ganze Reihe von Sicherheitslücken in VPN-Appliances von Top-Anbietern wie Pulse Secure, Palo Alto Networks, Fortinet, Citrix, Secureworks, oder F5 gefunden worden. Nachdem dann auch noch Exploit-Code veröffentlicht wurde, begannen Ransomware-Gruppen damit, ungepatchte VPN-Appliances in Unternehmen als Einfallstor für ihre Angriffe zu nützen. Die beiden beliebtesten Angriffsziele waren dabei gemäss Cimpanu VPN-Server von Pulse Secure sowie Network Gateways von Citrix.

Loading

Mehr zum Thema

image

Cybersecurity bei EY

Mit dem Cybersecurity Team unterstützen wir bei EY unsere Kundinnen und Kunden bei der Risikominimierung von Cyberangriffen.

image

Geotech: Was die Schweiz für mehr Cybersicherheit tun kann

Die geopolitische Lage spitzt sich auch im Cyberspace zu. Einzelne Anbieter auszuschliessen, sei keine gute Massnahme, sagen Security-Experten. Sie bevorzugen andere Mittel.

publiziert am 4.10.2022
image

Ransomware-Bande meldet Angriff auf Ferrari

Die Gruppe Ransomexx hat angeblich erbeutete Dateien veröffentlicht. Der Automobilhersteller erklärt, keine Beweise für eine Verletzung seiner Systeme zu haben.

publiziert am 3.10.2022
image

Neue Zero-Day-Lücken in Exchange Server

Die Lücken werden aktiv ins Visier genommen. Bisher gibt es nur einen Workaround.

publiziert am 3.10.2022