Sechs Jahre nach WannaCry: Warum Ransomware nach wie vor ein Problem ist

Der 12. Mai kennzeichnet nicht nur den internationalen „Anti-Ransomware-Tag“, sondern auch den sechsten Jahrestag der berüchtigten und verheerenden WannaCry-Angriffe. Auch heute noch stellt Ransomware eine ständige Bedrohung für Organisationen dar. Sie kann dazu führen, dass Geschäftsabläufe gestoppt werden, der Ruf eines Unternehmens geschädigt wird und reale Folgen entstehen. Öffentlichkeitswirksame Angriffe auf z.B. Krankenhäuser und Kommunen sind bei der Bevölkerung zumeist besser bekannt, doch Ransomware-Attacken stellen nach wie vor für alle Arten und Größen von Unternehmen eine äußerst ernstzunehmende Bedrohung dar.

Ein Grund, warum Ransomware so schwer einzudämmen ist, liegt darin, dass Cyberkriminelle ständig neue Wege finden, um die Malware zu verbreiten. Zu den neueren Angriffswegen gehören die digitalen Lieferketten von Unternehmen, die Anbieter, Lieferanten und andere Dritte mit Netzwerkzugang umfassen. Während die internen Netzwerke von Unternehmen immer sicherer werden, ist die Sicherheit von Drittanbietern möglicherweise schwächer. Wenn sie kompromittiert werden, können sich die Angreifer auf verbundene Netzwerke ausbreiten und Malware hinterlassen, die einen Ransomware-Angriff ermöglicht. Selbst wenn ein Unternehmen nicht selbst erpresst wird, kann ein Angriff auf einen wichtigen Lieferanten den Geschäftsbetrieb beeinträchtigen.

Ein weiterer gängiger Angriffsvektor für Ransomware ist das Remote Desktop Protocol (RDP), das beispielsweise die für die WannaCry-Angriffe verantwortlichen Cyberkriminellen ausnutzten. In Anbetracht der Zunahme von Remote-Arbeitsplätzen suchen immer mehr Unternehmen nach einem externen Fernzugriff für ihre Mitarbeiter, bedenken dabei aber nicht immer alle Sicherheitsaspekte. Leider ist es sehr einfach, RDP unbeabsichtigt für Angreifer zugänglich zu machen, indem man den RDP-Port für das Internet offen lässt, auch auf einem vergessenen System, einer Cloud-Instanz oder einem Netzwerksegment. Dieses Protokoll, das leicht entdeckt und ausgenutzt werden kann, kann zu Datenverlusten, Ausfallzeiten, kostspieligen Abhilfemaßnahmen und Imageschäden für Unternehmen führen.

Laut Threat Intelligence von BlueVoyant haben Bedrohungsakteure in letzter Zeit häufiger offene RDP-Ports als leicht zugänglichen Angriffsvektor sondiert, da sie anfällige RDP-Dienste durch einen einfachen externen Scan des Unternehmensnetzwerks finden können. Wenn ein RDP-Port im Netzwerk eines Unternehmens offen liegt, ist es nur eine Frage der Zeit, bis er von Angreifern gefunden und ausgenutzt wird.

Maßnahmen zur Prävention von Angriffen

Um Ransomware-Angriffe zu verhindern, ist es wichtig, dass Unternehmen die Sicherheit ihrer Lieferkette berücksichtigen. Sie sollten wissen, welche Anbieter, Lieferanten und andere Dritte Zugang zum Netzwerk haben und welche für die Geschäftskontinuität entscheidend sind. Unternehmen sollten dann ihre Lieferkette kontinuierlich überwachen, damit sie bei Anzeichen einer Gefährdung schnell mit Dritten zusammenarbeiten können, um das Problem zu beheben.

Im Hinblick auf RDP müssen sich die Unternehmen der Risiken bewusst sein. Die Ports sollten immer geschlossen sein, es sei denn, es gibt einen triftigen geschäftlichen Grund, der dagegenspricht. Jeder Fernzugriff sollte regelmäßig von Sicherheitsteams überprüft werden, um sicherzustellen, dass nichts unnötig offen gelassen wird. Für den notwendigen Zugriff sollten Unternehmen die Verwendung von VPN und eine mehrstufige Authentifizierung vorschreiben und die Anmeldeversuche begrenzen.

Autor: Markus Auer, Security Advisor und Sales Director Central Europe bei BlueVoyant