Ransomware: Homeoffice öffnet Tür und Tor

Die News sprechen eine deutliche Sprache: Ransomware-Attacken passieren immer häufiger und scheinen zu oft mit einer Zahlung von Lösegeld zu enden. Allein letzte Woche wurden eine grosse nordamerikanische Kurierfirma, ein amerikanischer Schnapsbrenner (Jack Daniel’s), der grösste Kreuzfahrtveranstalter der Welt Carnival und der Technologie-Gigant Konica-Minolta Opfer von Ransomware-Attacken. Die Sicherheitsfirma Coveware stellt fest, dass  auch die Höhe der Zahlungen an die Erpresser seit dem ersten Quartal um 60 Prozent angestiegen ist.

Die Höhe der Zahlungen an Erpresser ist in den letzten Jahren
stetig angestiegen, wie Coveware im Ransomware Marketplace Report
belegt.                                                                    Screengrab coveware.com

Das Perfide daran:  Der Anstieg der Attacken und deren Erfolgsquote hängen direkt damit zusammen, dass in der Coronakrise ein grosser Prozentsatz von Mitarbeitern von Zuhause aus arbeiten. Diese Mitarbeiter benutzen unter anderem RDP. Einem McAfee-Bericht zufolge stieg die Zahl der RDP-Ports, die ungeschützt vom Internet aus angegangen werden können, von etwa 3 Millionen im Januar 2020 auf mehr als 4,5 Millionen nach Beginn der Covid-19-Pandemie.

RDP ist ein von Microsoft entwickeltes Netzwerkkommunikationsprotokoll. Es ist für die meisten Windows-Betriebssysteme verfügbar und bietet eine grafische Schnittstelle, über die Benutzer eine Fernverbindung zu einem Server oder einem anderen Computer herstellen können. RDP überträgt die Anzeige des Remote-Servers an den Client und die Eingabe von Peripheriegeräten (wie Tastatur und Maus) vom Client zum Remote-Server und ermöglicht es den Benutzern, einen Remote-Computer so zu steuern, als ob sie ihn vor Ort bedienen würden. RDP wird im Allgemeinen als ein sicheres Tool angesehen. Ernsthafte Probleme können aber auftreten, wenn RDP-Ports für das Internet offen gelassen werden, da plötzlich auch Kriminelle versuchen können, eine Verbindung zum Remote-Server herzustellen. Wenn die Verbindung erfolgreich ist, erhält der Angreifer Zugriff auf den Server.

Dies ist zwar keine neue Bedrohung, aber die globale Verlagerung hin zum Remote-Arbeiten hat die Tatsache unterstrichen, dass viele Organisationen RDP nicht ausreichend absichern. Einem Kaspersky-Bericht zufolge gab es Anfang März 2020 allein in den USA täglich etwa 200‘000 RDP-Angriffe. Bis Mitte April war diese Zahl auf fast 1,3 Millionen angestiegen. Heute gelte RDP als grösstes Einfallstor für Ransomware, erklärte das Cyber-Sicherheitsunternehmen Emsisoft im vergangenen Monat im Rahmen eines Leitfadens zur Sicherung von RDP-Endpunkten gegen Lösegeld-Banden. (emisoft.com)
RDP ist nicht das einzige Risiko, wenn es um den Fernzugriff auf IT geht:

“Im Jahr 2020 ist aber auch ein weiterer wichtiger Vektor für das Eindringen von Kriminellen in Unternehmensnetzwerke aufgekommen, nämlich die Nutzung von Virtual Private Networks (VPN) Appliances und anderen ähnlichen Netzwerkgeräten. Seit dem Sommer 2019 wurden mehrere schwerwiegende Schwachstellen in VPN-Appliances der wichtigsten Anbieter aufgedeckt, darunter Pulse Secure, Palo Alto Networks, Fortinet, Citrix, Secureworks und F5. Sobald Proof-of-Concept-Angriffscode für eine dieser Schwachstellen öffentlich wurde, begannen Hacker-Gruppen die Fehler auszunutzen, um Zugang zu Unternehmensnetzwerken zu erhalten. Was die Hacker mit diesem Zugang taten, variierte je nach Spezialisierung der einzelnen Gruppen. Einige Gruppen betrieben Cyber-Spionage auf nationaler Ebene, einige Gruppen waren in Finanzkriminalität und IP-Diebstahl verwickelt, während andere Gruppen den Ansatz der RDP Shops verfolgten und den Zugang an andere Banden weiterverkauften.” (ZDNet)