Remote-Dienste sind besonders attraktiv als Einfallstor für Ransomware, so die IT-Security-Spezialisten von Attivo Networks. Sobald Angreifer einmal in das Netzwerk des Opfers eingedrungen sind, versuchen sie laut Attivo in der Regel, Remote-Dienste auszunutzen, sich seitlich zu bewegen und Zugang zu Remote-Systemen zu erlangen, wobei sie es vor allem auf Domain-Controller, Dateifreigaben und ähnlich hochwertige Server abgesehen haben. Laut dem DFIR-Jahresrückblick 2021 resultierten 27 % der Techniken für laterale Bewegung in interaktiven Verbindungen wie AnyDesk, RDP, VNC und ähnlichen.
Häufige Szenarien für die Ausnutzung von Remote-Diensten
Die Ausnutzung von Remote-Diensten ist einer der häufigsten Angriffsvektoren für Ransomware. Angreifer nutzen dafür verschiedene bekannte Schwachstellen in Standarddiensten wie SMB und Remote Desktop Protocol (RDP) oder gestohlene Anmeldedaten. Auch Anwendungen auf externen Systemen wie MySQL und Webserver-Dienste werden gerne genutzt. Diese nach außen gerichteten Systeme mit offenen RDP-Ports zum Internet stellen ein erhöhtes Risiko dar. Bedrohungsakteure können Anwendungen ausnutzen, um sich zunächst Zugang zu einem Unternehmen zu verschaffen, und dann lateral vorgehen, um ihre Ziele zu erreichen.
Härtung von Remote-Diensten
Um die Angriffsfläche zu reduzieren, sollten Netzwerkbetreiber bewährte Sicherheitspraktiken anwenden und regelmäßige Assessments durchführen, um Schwachstellen zu erkennen und zu beheben, insbesondere bei Systemen und Anwendungen, die von außen zugänglich sind. So sollten insbesondere öffentlich zugängliche Konten für Fernüberwachung und Verwaltung regelmäßig auditiert und unnötige Konten und Gruppen gelöscht werden. Zudem sollten Root-Zugriffe auf das notwendige Minimum beschränkt werden.
Zu wenig Beachtung findet laut Jens Wollstädter, Regional Manager DACH von Attivo Networks, auch das Prinzip der geringsten Privilegien, das auf alle Systeme und Dienste angewendet werden sollte, so dass Benutzer nur den Zugriff erhalten, den sie für die Ausführung ihrer Aufgaben benötigen. Bedrohungsakteure suchen oft nach privilegierten Konten, um Ransomware-Operationen zu nutzen. Auch die Verwendung von PowerShell mithilfe von Gruppenrichtlinien sollte bedarfsgerecht eingeschränkt werden, denn Angreifer verwenden PowerShell gerne, um Ransomware bereitzustellen und ihre Aktivitäten zu verbergen.
Ein weiterer wichtiger Aspekt ist die Absicherung von RDP-Verbindungen mithilfe einer die Multifaktor-Authentifizierung (MFA). Zudem sollten Verbindungen nur von RDP-Computern mit Network Level Authentication (NLA) zugelassen werden. NLA kann auch nützlich sein, um sich vor Brute-Force-Angriffen zu schützen, die häufig auf offene RDP-Server im Internet abzielen. RDP Brute-Force-Angriffe sind eine beliebte Methode, um auf Windows-Endpunkte oder -Server zuzugreifen.
Fachartikel
Warum ist Data Security Posture Management (DSPM) entscheidend?
CVE-2024-47176 – Linux-Privilegienerweiterung über CUPS-Schwachstelle
Was die PCLOB-Entlassungen für das EU-US-Datenschutzabkommen bedeuten
Sicher und besser fahren: Was NIS2 für Internetknoten und ihre Kunden bedeutet
2,3 Millionen Organisationen setzen auf DMARC-Compliance
Studien
Gartner-Umfrage: Nur 14% der Sicherheitsverantwortlichen können Datensicherheit und Geschäftsziele erfolgreich vereinen
Zunehmende Angriffskomplexität
Aufruf zum Handeln: Dringender Plan für den Übergang zur Post-Quanten-Kryptographie erforderlich
IBM-Studie: Gen-KI wird die finanzielle Leistung von Banken im Jahr 2025 steigern
Smartphones – neue Studie zeigt: Phishing auch hier Sicherheitsrisiko Nr. 1
Whitepaper
eBook: Cybersicherheit für SAP
Global Threat Report 2025: Chinesische Cyberspionage-Aktivitäten nehmen um 150 % zu, wobei die Taktiken immer aggressiver werden und zunehmend KI zur Täuschung eingesetzt wird
Die 5 Stufen von CTEM – Ihr Leitfaden zur Umsetzung
BSI veröffentlicht IT-Grundschutz-Profil für kleine und mittlere Flughäfen
