Kein Cybersicherheitssystem ist vollkommen sicher, aber ein paar einfache Maßnahmen können große Vorteile bringen. Bei der Analyse der Anatomie von Ransomware-Angriffen, die auf Softwareschwachstellen abzielen, zeigt sich, dass einige wenige gängige Ransomware-Ports für die große Mehrheit der Angriffe verantwortlich sind. Das heißt, wenn Sie diese Ports sichern können, können Sie die Wahrscheinlichkeit einer Ransomware-Infektion erheblich verringern.
Remote Desktop Protocol – Port 3389
Einigen Schätzungen zufolge waren Angriffe über offene RDP-Ports für mehr als die Hälfte der Ransomware-Angriffe im Jahr 2021 verantwortlich. RDP-Ports sind sehr nützlich, um aus der Ferne auf ein System zuzugreifen, aber das macht sie auch zu einem Traum für Hacker.
Die gängigste Methode, um Ransomware-Angriffsports anzugreifen, sind Brute-Force-Angriffe. Angreifer können das gesamte Internet nach offenen RDP-Ports durchsuchen. Wenn sie einen finden, verwenden sie ein einfaches Brute-Force-Tool wie Burp Suite, um Zugang zu erhalten. Erschreckend viele RDP-Clients verwenden schwache Passwörter, so dass diese Taktik viel häufiger funktioniert, als sie sollte.
Diese Phase des Angriffs wird häufig von einem anfänglichen Access Broker durchgeführt. Diese Hacker sind darauf spezialisiert, einen „Fuß in die Tür“ von Unternehmensnetzwerken zu bekommen. Anschließend verkaufen sie den Zugang an andere spezialisierte Teams, die den Angriff tatsächlich durchführen.
Verteidigungsstrategie
Viel zu viele Unternehmen lassen die RDP-Ports offen, auch wenn sie sie nicht benötigen. Ihr Cybersicherheitsteam sollte sicherstellen, dass jeder mit einem Netzwerk verbundene Computer den Port 3389 geschlossen hat, es sei denn, er muss unbedingt geöffnet sein. Wenn dies der Fall ist, müssen Sie die zugelassenen IP-Adressen auf eine Whitelist setzen.
Selbst dann können Sie nicht davon ausgehen, dass die auf der Whitelist stehenden Rechner, die den RDP-Port verwenden, nicht gefährdet sind. Der Zugang sollte mit einem sicheren Kennwort und mindestens einer Ratenbegrenzung geschützt werden. Durch die Ratenbegrenzung wird verhindert, dass mehr als ein paar falsche Kennworteingaben gemacht werden können, bevor der Zugriff für eine bestimmte Zeit unterbrochen wird. Dadurch werden Brute-Force-Angriffe praktisch unmöglich gemacht.
Die Zwei-Faktor-Authentifizierung ist auch eine gute Maßnahme für RDP-Ports.
Secure-Shell-Protokoll (SSH) – Port 22
SSH ist ein Protokoll, das den sicheren Zugriff auf einen Computer über ein ungesichertes Netz ermöglicht. So kann es beispielsweise zwei Computern im Internet ermöglichen, eine verschlüsselte Kommunikation miteinander aufzubauen. Leider ist es auch einer der häufigsten Ransomware-Ports.
Verteidigungsstrategie
Port 22 ist ebenso wie Port 3389 häufig Ziel von Brute-Force-Angriffen, so dass die Verwendung sicherer Passwörter unerlässlich ist. Sie können Ihre SSH-Sitzungen auch so konfigurieren, dass sie automatisch beendet werden, anstatt den Port offen zu lassen, wenn er nicht benutzt wird.
Bei SSH ist der Root-Zugang manchmal standardmäßig aktiviert. Dies kann es Hackern ermöglichen, ihre Privilegien zu erweitern und sich schnell in einem Netzwerk zu verbreiten. Deaktivieren Sie die Root-Anmeldung, um dies zu verhindern.
Stellen Sie sicher, dass Sie SSH 2, die neuere Version des Protokolls, verwenden, da es eine höhere Sicherheit als SSH 1 bietet. Sie können es Hackern auch schwerer machen, indem Sie einen anderen Port für Ihr SSH verwenden, da Hacker auf Port 22 suchen werden. Und wie immer lohnt es sich, die 2-Faktor-Authentifizierung zu aktivieren.
Server-Message-Block-Protokoll (SMB) – Port 445
Das Server Message Block-Protokoll ermöglicht es Computern in einem Netzwerk, über TCP/IP miteinander zu kommunizieren. Normalerweise wird es für die gemeinsame Nutzung von Dateien verwendet, aber Port 445 ist jetzt für seine Rolle bei der WannaCry-Ransomware-Epidemie berüchtigt.
Der Port wird oft offen gelassen, damit Computer mit Druckern kommunizieren können, und Hacker haben dies ausgenutzt, wodurch sich die Ransomware in diesem speziellen Fall verbreitet hat.
Verteidigungsstrategie
Idealerweise sollten Sie den gesamten eingehenden Verkehr über Port 445 blockieren. Es kann notwendig sein, ihn für einen Teil des eingehenden Datenverkehrs offenzuhalten, aber Sie sollten Ihr Netzwerk dennoch segmentieren, indem Sie den meisten internen eingehenden Datenverkehr blockieren.
NetBios – Port 139
Port 139 ist wie Port 445 ein SMB-Port, der jedoch in der Regel auf Windows-Systemen zu finden ist und auf dem NetBios läuft. Es wurde beobachtet, dass sowohl WannaCry als auch andere Varianten wie Ryuk und NotPetya Port 139 nutzen. Sowohl Port 139 als auch 445 gehören zu den wichtigsten zu blockierenden Ransomware-Ports.
Verteidigungsstrategie
Die Richtlinien für die Sicherung von Port 139 sind mehr oder weniger dieselben wie für Port 445 – die beste Option ist, den Port vollständig zu schließen. Wenn Sie es unbedingt brauchen, kann es eine gute Vorsichtsmaßnahme sein, den gesamten Datenverkehr durch einen MAC-Adressfilter laufen zu lassen. Es ist jedoch wichtig, den MAC-Adressfilter immer auf dem neuesten Stand zu halten, um sicherzustellen, dass das System mit allem kommunizieren kann, was es braucht.
Immer auf der Hut sein
Es lohnt sich wirklich, sich über die Ransomware-Bedrohungslage auf dem Laufenden zu halten und Ihre Ports entsprechend zu konfigurieren. Das dauert nur ein paar Minuten, kann aber eine große Anzahl potenzieller Ransomware-Angriffe abwehren. Da alle Ports offen sind, ist es ideal, eine Art von Endpunkt-Überwachung und Reaktionsverfahren einzurichten.
Falls Sie betroffen sind, können wir Ihnen helfen uns unsere Services zur Ransomware-Datenwiederherstellung anbieten.