
Remote-Dienste sind besonders attraktiv als Einfallstor für Ransomware, so die IT-Security-Spezialisten von Attivo Networks. Sobald Angreifer einmal in das Netzwerk des Opfers eingedrungen sind, versuchen sie laut Attivo in der Regel, Remote-Dienste auszunutzen, sich seitlich zu bewegen und Zugang zu Remote-Systemen zu erlangen, wobei sie es vor allem auf Domain-Controller, Dateifreigaben und ähnlich hochwertige Server abgesehen haben. Laut dem DFIR-Jahresrückblick 2021 resultierten 27 % der Techniken für laterale Bewegung in interaktiven Verbindungen wie AnyDesk, RDP, VNC und ähnlichen.
Häufige Szenarien für die Ausnutzung von Remote-Diensten
Die Ausnutzung von Remote-Diensten ist einer der häufigsten Angriffsvektoren für Ransomware. Angreifer nutzen dafür verschiedene bekannte Schwachstellen in Standarddiensten wie SMB und Remote Desktop Protocol (RDP) oder gestohlene Anmeldedaten. Auch Anwendungen auf externen Systemen wie MySQL und Webserver-Dienste werden gerne genutzt. Diese nach außen gerichteten Systeme mit offenen RDP-Ports zum Internet stellen ein erhöhtes Risiko dar. Bedrohungsakteure können Anwendungen ausnutzen, um sich zunächst Zugang zu einem Unternehmen zu verschaffen, und dann lateral vorgehen, um ihre Ziele zu erreichen.
Härtung von Remote-Diensten
Um die Angriffsfläche zu reduzieren, sollten Netzwerkbetreiber bewährte Sicherheitspraktiken anwenden und regelmäßige Assessments durchführen, um Schwachstellen zu erkennen und zu beheben, insbesondere bei Systemen und Anwendungen, die von außen zugänglich sind. So sollten insbesondere öffentlich zugängliche Konten für Fernüberwachung und Verwaltung regelmäßig auditiert und unnötige Konten und Gruppen gelöscht werden. Zudem sollten Root-Zugriffe auf das notwendige Minimum beschränkt werden.
Zu wenig Beachtung findet laut Jens Wollstädter, Regional Manager DACH von Attivo Networks, auch das Prinzip der geringsten Privilegien, das auf alle Systeme und Dienste angewendet werden sollte, so dass Benutzer nur den Zugriff erhalten, den sie für die Ausführung ihrer Aufgaben benötigen. Bedrohungsakteure suchen oft nach privilegierten Konten, um Ransomware-Operationen zu nutzen. Auch die Verwendung von PowerShell mithilfe von Gruppenrichtlinien sollte bedarfsgerecht eingeschränkt werden, denn Angreifer verwenden PowerShell gerne, um Ransomware bereitzustellen und ihre Aktivitäten zu verbergen.
Ein weiterer wichtiger Aspekt ist die Absicherung von RDP-Verbindungen mithilfe einer die Multifaktor-Authentifizierung (MFA). Zudem sollten Verbindungen nur von RDP-Computern mit Network Level Authentication (NLA) zugelassen werden. NLA kann auch nützlich sein, um sich vor Brute-Force-Angriffen zu schützen, die häufig auf offene RDP-Server im Internet abzielen. RDP Brute-Force-Angriffe sind eine beliebte Methode, um auf Windows-Endpunkte oder -Server zuzugreifen.
Fachartikel

CVE-2023-23397: Der Benachrichtigungston, den Sie nicht hören wollen

Wie sich kleine und mittlere Unternehmen proaktiv gegen Ransomware-Angriffe wappnen

Attraktivität von MSP-Geschäftsmodellen gegenüber Investoren gezielt steigern

Schlüsselfaktoren für das Engagement im Bereich Managed Detection and Response (MDR)

Setzen Sie die Datensicherheit Ihres Unternehmens nicht aufs Spiel
Studien

Studie zeigt 193 Millionen Malware-Angriffe auf Mobilgeräte von Verbrauchern im EMEA-Raum

2023 State of the Cloud Report

Trotz angespannter Wirtschaftslage: die Security-Budgets steigen, doch der IT-Fachkräftemangel bleibt größte Hürde bei Erreichung von Security-Zielen

BSI-Studie: Viele Software-Produkte für Onlineshops sind unsicher

Wie Cloud-Technologie die Versicherungsbranche revolutioniert
Whitepaper

Aktueller Datenschutzbericht: Risiko XXL am Horizont

Vertrauen in die Lieferkette durch Cyber-Resilienz aufbauen

TXOne Networks und Frost & Sullivan veröffentlichen Jahresbericht 2022 über aktuelle Cyberbedrohungen im OT-Bereich

Fast die Hälfte aller Organisationen im Gesundheitswesen von Datensicherheitsverletzungen betroffen

Ransomware-Gruppe LockBit steckt am häufigsten hinter der illegalen Veröffentlichung gestohlener Daten
Unter4Ohren

DDoS – der stille Killer

Continuous Adaptive Trust – mehr Sicherheit und gleichzeitig weniger mühsame Interaktionen

Datenschutz und -kontrolle in jeder beliebigen Cloud bei gleichzeitiger Kostensenkung, Reduzierung der Komplexität, Verbesserung der Datenverfügbarkeit und Ausfallsicherheit

PwC Deutschland – Corporate Security Benchmarking Survey
