In der zweiten Jahreshälfte konnten Sicherheitsforscher weltweit einen deutlichen Anstieg an sogenannter „Double Extortion Ransomware“ feststellen. Durch diesen Ansatz maximieren Angreifer ihren Profit, indem sie die Daten nicht nur verschlüsseln, sondern sie zuvor auch heimlich entwenden und mit einer Veröffentlichung oder einem Verkauf dieser meist sensiblen Informationen drohen.
Diese Strategie wurde zunächst von der Bande hinter REvil (alias Sodinokibi) angewandt und fand sehr schnell zahlreiche Nachahmer.
Cyberkriminelle sind Opportunisten, die auf Veränderungen reagieren und sich, ihre Techniken und Taktiken entsprechend anpassen. So wurde durch die Häufigkeit und die oft fatalen Auswirkungen von Ransomware-Angriffen in den letzten Jahren deutlich, dass jedes Unternehmen ein potenzielles Ziel ist. Infolgedessen haben Unternehmen neben zusätzlichen Investitionen in Anti-Malware-Technologien hart daran gearbeitet, effektive Backup-Strategien zu implementieren, um das Worst-Case-Szenario eines „erfolgreichen“ Ransomware-Angriffs zu bewältigen. Durch den neuen Ansatz werden nun aber Backups nutzlos: Die Androhung, interne Daten zu veröffentlichen, setzt die Opfer unter einen enormen Druck, das Lösegeld zu zahlen. Der potenzielle wirtschaftliche Schaden (nicht nur durch eine Rufschädigung, sondern auch etwa das Publikmachen geistigen Eigentums) dürfte in den meisten Fällen wesentlich verheerender sein als der bloße Verlust von Daten (mit der Chance einer Wiederherstellung).
Parallel mit der neuen Strategie haben die Angreifer auch ihren Modus Operandi verändert und sind von breit angelegten Kampagnen zu einem gezielten Ansatz übergegangen. Sie wählen ihre Opfer genau aus und nutzen deren verwundbare, mit dem Internet verbundenen Systeme, um in die entsprechenden Netzwerke einzubrechen. Auf diesem Weg sind sie in der Lage, eine Präsenz im Netzwerk zu etablieren, bösartige Payloads zu injizieren und sicherzustellen, dass sich die Infektion rasch im gesamten Unternehmen ausbreitet.
Gefährliches VPN
So unglaublich es auch klingen mag: Angreifern helfen auch Technologien, die Unternehmen eigentlich vor ihnen schützen sollen. So hatte praktisch jeder VPN-Anbieter innerhalb der letzten zwölf bis 18 Monate schwerwiegende Schwachstellen aufzuweisen. Verwundbare VPN-Dienste sind das ideale Ziel und Mittel für Cyberkriminelle, da ein VPN direkt dem Internet ausgesetzt ist und Netzwerkzugriff auf die internen Ressourcen bietet. CVE-2019-11510, CVE-2018-13379, CVE-2019-1579, CVE-2019-19781, CVE-2020-2021, CVE-2020-5902 sind nur einige Beispiele für Schwachstellen, die entsprechende Geräte betreffen und aktiv ausgenutzt werden, unter anderem um Ransomware einzuschleusen.
Das Timing dieser Sicherheitslücken könnte nicht schlechter sein: Die genannten Sicherheitslücken wurden alle unmittelbar vor und während der COVID-19-Krise entdeckt, als Unternehmen fast über Nacht gezwungen waren, auf Remote-Arbeit umzustellen – und sich dabei häufig auf VPN verlassen haben. Setzt man die schiere Menge an VPN-Verbindungen mit der Zeit, die die Bereitstellung eines Patches benötigt (plus die Zeit, die Unternehmen brauchen, um diese aufzuspielen) in Kombination, wird schnell deutlich, warum diese Angriffe so erfolgreich waren und sind.
Allerdings sind anfällige VPNs nicht die einzigen kritischen, dem Internet zugewandten Systeme, die von Ransomware-Angreifern ausgenutzt werden können. Eine weitere Fernzugriffstechnologie, die während der Pandemie eine wichtige Rolle spielt, bietet Angreifern eine zusätzliche Chance: RDP (Remote Desktop Protocol). Für viele Unternehmen stellte dies den schnellsten Weg dar, um Fernzugriff auf interne Ressourcen zu ermöglichen. Aus Security-Sicht hingegen ist die Einrichtung von RDP-Verbindungen direkt über das Internet eine schlechte Idee, da sie recht anfällig für Brute-Force- und Passwort-Spraying-Angriffe sind. Gleich mehrere Sicherheitsunternehmen haben seit COVID einen Anstieg von Brute-Force-RDP-Angriffen festgestellt und auch das FBI gab eine entsprechende Warnung vor Ransomware-Angriffen heraus, die offene RDP-Verbindungen ausnutzen.
Angriffsfläche beim Fernzugriff reduzieren
Wenn es unbedingt erforderlich ist, den Zugriff auf die internen Ressourcen auf Netzwerkebene über ein VPN zu ermöglichen, muss man sicherstellen, dass die Systeme stets auf dem aktuellen Stand sind und immer rasch mit den neuesten Patches aktualisiert werden. Sollte noch kein Patch verfügbar sein, sollte man auf alle Fälle den vom Hersteller empfohlenen Abhilfemaßnahmen folgen. Zum Schutz vor Brute-Force- und Passwort-Spraying-Angriffen empfiehlt es sich, eine effektive Passwortänderungsrichtlinie durchzusetzen und diese, wenn möglich, mit einer Multi-Faktor-Authentifizierung sowohl auf der äußeren Ebene als auch beim Zugriff auf eine interne Ressource zu kombinieren. Schließlich ist es ratsam, den VPN-Zugang für all diejenigen zu deaktivieren, die ihn nicht benötigen.
Ähnliches gilt beim Einsatz von RDP: Hier sollte der Zugriff auf die RDP-Ports (3389 TCP/UDP) gesperrt werden, wenn er nicht benötigt wird und der Zugang auf diejenigen beschränkt werden, die ihn wirklich brauchen. Durch ein Mediation Gateway kann zudem vermieden werden, dass das System direkt dem Internet exponiert wird. Und wie beim VPN ist es auch bei RDP angeraten, eine Multifaktor-Authentifizierung einzuführen.
Wie in allen Aspekten der Cybersecurity geht es darum, es den Angreifern möglichst schwer zu machen. Und es ist schwierig in Systeme einzubrechen, die man nicht sehen kann. Noch effektiver als die Multi-Faktor-Authentifizierung und die Empfehlungen für Passwortänderungsrichtlinien ist entsprechend der Einsatz einer Zero Trust-Lösung anstelle von herkömmlichen VPNs. Auf diese Weise können Unternehmen praktisch jeden Dienst auf der Anwendungsebene (einschließlich eines RDP-Servers) ohne Einschränkungen in Bezug auf die horizontale Skalierbarkeit bereitstellen – bei minimalem Verwaltungsaufwand. Interne Systeme sind so nicht direkt dem Internet ausgesetzt, gleichzeitig wird der Sicherheitsstatus jedes Benutzers vor dem Zugriff auf Unternehmensressourcen überprüft. Durch effektive Endpunktsicherheit kann verhindert werden, dass der Homeoffice-Rechner oder das Notebook des von Zuhause aus arbeitenden Mitarbeiters von Cyberkriminellen als Sprungbrett ins Unternehmensnetzwerk genutzt wird.
Das Thema Fernzugriff wird uns dauerhaft beschäftigen, auch jenseits der Pandemie. Höchste Zeit also, sich der Gefahren bewusst zu werden und proaktiv gegenzusteuern.