Ein Teil unserer Arbeit besteht darin, forensische Analysen durchzuführen, um die Ursache von Ransomware-Angriffen zu ermitteln. Dies ist ein wichtiger Teil, um sicherzustellen, dass Ransomware-Angriffe nicht erneut auftreten. Ein Problem, das bei diesem Prozess häufig auftritt, ist die Verwendung von Remotedesktopprotokollen (RDP) durch Ransomware-Angreifer.
Angriffe via RDP ist nicht nur ein Problem für unsere Kunden. RDP wurde auch als Top-Bedrohung durch Recherchen über mögliche Bedrohungen für die US-Wahl erwähnt. Es ist einer der häufigsten Angriffsvektoren sowohl für Ransomware als auch für andere Arten von Malware. Die anderen häufigsten Viren-Übetragungsmethoden im vergangenen Jahr waren E-Mail-Phishing und Exploits von VPN-Software.
Warum sind Angriffe auf RDP so häufig?
RDP wird für viele Zwecke von vielen verschiedenen Organisationen verwendet. Dank RDP kann jedwelcher Windows Computer benutzt werden, als ob man direkt davor sitzen würde, auch wenn man sich ganz woanders befindet. RDP bringt viele Vorteile: Sie können beispielsweise eine Lösung auf einem Computer bereitstellen, wenn dieser nicht über genügend Rechenleistung verfügt, um dies alleine zu bewerkstellingen. Damit können beispielsweise Kosten gesenkt werden, da es Computern effektiv ermöglicht, Ressourcen gemeinsam zu nutzen. Remote-Desktop-Protokoll ermöglicht es einer gesamten Organisation, direkt aus der Cloud zu arbeiten, was erhebliche Effizienzgewinne mit sich bringt.
Leider bringen diese Bequemlichkeit und Effizienz auch Nachteile mit sich. RDP-Server haben oft viele offengelegte Ports online. Böswillige Akteure können diese verwenden, um Computer zu hacken. Sobald ein Angreifer die Kontrolle über einen Remotedesktopclient übernommen hat, kann er einen Computer so effektiv bedienen, wie wenn er in das Büro eingebrochen wäre und vor dem Gerät sitzen würde.
Einer der Gründe, weshalb so viele RDP Angriffe passieren, ist die Existenz von „RDP Shops“. RDP Shops sind das Ergebnis der zunehmenden Professionalisierung von Hackern. Die größer werdende Bedeutung von Kryptowährungen wie Bitcoin ermöglicht es Cyberkriminellen über das Internet Geschäfte zu machen, ohne die eigene Identität preiszugeben. Es gibt Hacker, welche sich darauf spezialisiert haben, im Internet nach einem offenen RDP-Port zu suchen. Wenn sie einen finden, initiieren sie Brute-Force-Angriffe, was bedeutet, dass sie zufällige Kombinationen von Benutzernamen und Passwörtern millionenfach ausprobieren, bis eine funktioniert. Das klappt in der Regel nur auf Systemen mit schwachen Passwörtern.
RDP-Hacker automatisieren viele Prozesse. Möglicherweise scannen sie gleichzeitig Tausende Systeme und versuchen jeweils einzudringen. Wenn sie Benutzernamen- und Passwortkombinationen gefunden haben, stellen sie diese in einem „RDP-Shop“ zum Verkauf. In den vergangenen Jahren haben sich Ransomware-Angreifer zu den Hauptkunden von RDP-Shops entwickelt. Einige RDP-Shop-Besitzer arbeiten mittlerweile exklusiv mit Ransomware-Angreifern zusammen und sind ausschließlich mit Ransomware-as-a-Service-Operationen zusammengeschlossen.
RDP-Sicherheit – Mehr als nur starke Passwörter
Wie können Sie sich effizient vor RDP-Hacks schützen? Es existieren einige Methoden, um Hackern und Ransomware-Angreifern das Leben zu erschweren.
- Verwenden Sie sichere Kennwörter. Die wichtigste Maßnahme, die Hacker an der Übernahme von RDP hindern kann, ist die Verwendung starker Passwörter. Die meisten RDP-Hacks finden über RDP-Anmeldeinformationen statt, die in RDP-Shops gekauft wurden. Angreifer erhalten diese Anmeldeinformationen in der Regel durch Brute-Force-Angriffe. Damit Hacker nicht an diese Informationen herankommen, ist die Verwendung von starken Kennwörtern mit einer Kombination von Groß- und Kleinbuchstaben sowie Zahlen und Symbolen unabdingbar.
- Verwenden Sie die Authentifizierung auf Netzwerkebene. Es gibt zwei Authentifizierungsmodi mit RDP; Legacy-Modus und Authentifizierung auf Netzwerkebene (Network Level Authentication, NLA). NLA bietet mehr Funktionen und ist für Hacker schwieriger auszunutzen.
- Verwenden Sie eine Sicherheitsschicht. Es ist möglich, RDP-Sitzungen mit Sicherheitsebenen zu sichern. Die stärkste Sicherheitsschicht, die mit RDP kompatibel ist, ist SSL (Secure Sockets Layer). SSL erfordert die Überprüfung der Identität der Person, die sich für eine Remotesitzung anmeldet, und die Verschlüsselung der gesamten Kommunikation zwischen Server und Client. Sicherheitsebenen sind jedoch nicht mit NLA kompatibel.
- Aktivieren Sie die Verschlüsselung Bei neueren Versionen von RDP ist die Verschlüsselung standardmäßig aktiviert, bei einigen älteren Versionen ist dies jedoch nicht der Fall. Wenn Sie eine ältere Version verwenden, können Sie die Verschlüsselung manuell aktivieren.
- Aktivieren Sie Benutzereinschränkungen. Es ist immer wichtig, das „Prinzip der geringsten Rechte“ anzuwenden. Dies bedeutet, dass kein Benutzer mehr Berechtigungen haben sollte, als er unbedingt benötigt. Konten auf Administrator-Ebene benötigen nicht immer Zugriff auf RDP, daher ist es besser, diese Berechtigungen zu deaktivieren.
- IP-Adressenbeschränkungen Beschränkungen in Bezug auf die IP-Adressen, welche auf RDP zugreifen können, können viele Ransomware-Angriffe verhindern. Sie können dies tun, indem Sie den RDP-Port beschränken, sodass nur IP-Adressen innerhalb eines bestimmten Bereichs akzeptiert werden.
- Passen Sie Firewalls an Wenn Sie Ihren Remotedesktopserver hinter einer Firewall platzieren, werden eingehende Anfragen gefiltert. Ihr Server wird nur für legitime Anfragen zugänglich.
- Verwenden Sie eine Multi-Faktor-Authentifizierung Die Aktivierung von MFA erschwert das Eindringen für Hacker enorm. Verwenden Sie einen Benutzernamen und ein Kennwort zusammen mit einem Einmalkennwort (OTP).
- Achten Sie auf verdächtige Aktivitäten Die meisten RDP-Anmeldeinformationen werden durch Brute-Force-Angriffe kompromittiert. Diese erfolgen in der Regel über den 3389 Port. Wenn Sie viele fehlgeschlagene Anmeldeversuche an diesem Port feststellen, kann dies bedeuten, dass Angreifer versuchen, Ihre Anmeldeinformationen zu stehlen.
- Aktualisieren, aktualisieren und nochmals aktualisieren Bleiben Sie in Bezug auf neueste Patches und Updates immer auf dem Laufenden.
Es ist nie zu spät, die Sicherheit Ihres Systems zu optimieren
Wenn Sie von einem Ransomware-Angriff getroffen werden, ist dies nicht das Ende der Welt. Es kann zu erheblichen Verlusten kommen, aber für viele Unternehmen ist es ein Weckruf, ihre System-Sicherheit zu verbessern. Auf lange Sicht kann die Einführung besserer Sicherheitsmaßnahmen noch schlimmere Angriffe verhindern. Ransomware-Angriffe werden immer schlimmer und Datenexfiltration wird immer häufiger. In vielen Fällen werden Unternehmen nach kleinere Angriffen aufmerksam und investieren mehr Mittel in die IT-Sicherheit. Dadurch können größere Angriffe abgewendet werden, die zu mehr Datenverlust und mehr Reputationsschäden führen könnten.
Wenn Sie Opfer eines Ransomware-Angriffs werden, steht unser Team 24/7 für Sie bereit, um Ihr System wieder funktionsfähig zu machen. Wir kümmern uns um jeden Aspekt der Ransomware-Wiederherstellung, einschließlich der Führung unserer Kunden durch neue Best Practices für die Sicherheit. Sie können uns jederzeit für eine kostenlose Beratungkontaktieren. Wir haben auch einige Ressourcen für Vorgehensweisen nach Ransomware Attacken zusammengestellt. Sie können sie gerne durchlesen, um mehr über die Schritte zu erfahren, die nach einem Ransomware-Angriff unternommen werden müssen.