Ransomware: Angriffe über Remote Dienste

Ransomware, Loader, Stealer, Zero-Day-Exploits, Cyberkrieg, Spionage: Die Cyber-Bedrohungen bleiben auch 2022 bestehen - und die Bedrohungsakteure werden immer geschickter und heimlicher.

Mehr als die Hälfte der Ransomware-Angriffe beginnen mittlerweile damit, dass Kriminelle Schwachstellen in entfernten und internetfähigen Systemen ausnutzen, da Hacker versuchen, nicht gepatchte Cybersicherheitslücken auszunutzen.

Laut einer Analyse von Ransomware-Vorfällen im vergangenen Jahr durch Forscher des Sicherheitsunternehmens Secureworks begannen 52 % der Angriffe mit böswilligen Hackern, die Remote-Dienste ausnutzten.

Schwachstellen in Internetanwendungen sind zum häufigsten Angriffsvektor für Ransomware-Operationen geworden. Oftmals sind diese Internetanwendungen in Unternehmensumgebungen auf der ganzen Welt Standard, was sie zu einem sehr verlockenden Ziel für böswillige Hacker macht.

Diese Anwendungen und Dienste sind möglicherweise mit dem Internet verbunden, weil die Unternehmen sie benötigen, um ihren Mitarbeitern die Arbeit aus der Ferne zu ermöglichen – oder die Unternehmen sind sich gar nicht bewusst, dass diese Anwendungen überhaupt mit dem Internet verbunden sind.

Laut Secureworks gehören zu den Schwachstellen, die für Ransomware-Angriffe genutzt wurden, Schwachstellen in Microsoft Exchange Server, Schwachstellen in Fortinet VPNs, eine Schwachstelle in Zoho ManageEngine, ADSelfService Plus und andere – für alle diese Schwachstellen gibt es offizielle Fixes von den Anbietern. Doch selbst wenn Sicherheits-Patches zur Verfügung stehen, bleiben viele Unternehmen anfällig für die Schwachstellen, weil das Update nicht eingespielt wird.

Das ist vor allem dann der Fall, wenn die Schwachstelle erst kürzlich bekannt wurde und Cyberkriminelle sie so schnell wie möglich ausnutzen, bevor Patches zur Verfügung gestellt werden und die Unternehmen die Möglichkeit hatten, sie anzuwenden.

„Selbst wenn ein Patch vorhanden ist, ist der Prozess des Patchens einer Schwachstelle in einer Unternehmensumgebung weitaus komplexer und langsamer als der Prozess für Bedrohungsakteure oder OST-Entwickler (Offensive Security Tools), öffentlich verfügbaren Exploit-Code als Waffe einzusetzen“, warnt der Bericht.

Das Patchen kann ein mühsamer und schwerfälliger Prozess sein, aber es ist dennoch unerlässlich, um sich vor Ransomware und anderen Malware-Angriffen zu schützen, die auf Schwachstellen in Diensten abzielen, die dem Internet ausgesetzt sind.

Während mehr als die Hälfte der untersuchten Ransomware-Vorfälle damit begannen, dass Angreifer Schwachstellen im Internet ausnutzten, waren kompromittierte Anmeldedaten – Benutzernamen und Kennwörter – der Einstiegspunkt für 39 % der Vorfälle.

Benutzernamen und Kennwörter können auf verschiedene Weise gestohlen werden, z. B. durch Phishing-Angriffe oder die Infizierung von Benutzern mit Malware, die Informationen stiehlt. Es kommt auch häufig vor, dass Angreifer schwache oder gängige Passwörter mit Brute-Force-Angriffen knacken.

Andere Methoden, die Cyberkriminelle als Ausgangspunkt für Ransomware-Angriffe verwendet haben, sind Malware-Infektionen, Phishing, Drive-by-Downloads und die Ausnutzung von Netzwerkfehlkonfigurationen.

Unabhängig davon, welche Methode zur Initiierung von Ransomware-Kampagnen verwendet wird, warnt der Bericht, dass Ransomware eine große Bedrohung bleibt, die sich aus Lücken in den Sicherheitskontrollrahmen speist.

Trotz der Herausforderungen, die mit der Vorbereitung auf Ransomware und andere bösartige Cyber-Bedrohungen verbunden sein können – insbesondere in großen Unternehmensumgebungen – empfehlen die Secureworks-Forscher, dass die Anwendung von Sicherheits-Patches eine der wichtigsten Maßnahmen ist, die Unternehmen zum Schutz ihrer Netzwerke ergreifen können.

Eine andere Form des Schutzes, die nach Ansicht der Forscher zur Verhinderung von Ransomware-Angriffen eingesetzt werden sollte, ist die Multi-Faktor-Authentifizierung (MFA).

Durch die Anwendung von MFA, insbesondere bei Anwendungen und Konten, die auf kritische Dienste zugreifen, wird es für Cyberkriminelle sehr viel schwieriger, in das Netzwerk einzudringen und sich dort zu bewegen – selbst wenn sie das richtige Passwort haben. Schritte wie diese können einen wesentlichen Beitrag dazu leisten, Ransomware-Angriffe zu unterbrechen, bevor sie überhaupt beginnen.

Themenseiten: Ransomware, SecureWorks

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Ransomware: Angriffe über Remote Dienste

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *