Fachartikel

Gefahr durch Cyberattacken per RDP

Das Remote Desktop Protocol ist eines der beliebtesten Werkzeuge, mit dem Systemadministratoren entfernte Systeme mit der gleichen Funktionalität zentral steuern können als wären sie vor Ort. Auch Managed Service Provider nutzen das Tool vielfach zur Verwaltung von Hunderten von Kundennetzwerken und -systemen. Zugleich aber schafft RDP ein weiteres Einfallstor für Cyberangriffe. Aktuelle Untersuchungen zeigen, dass durch RDP eine große und anfällige Angriffsfläche in vielen Netzwerken entstanden ist, die von Angreifern genutzt wird. Was ist für den Admin also zu tun?
Nicht immer ist der Remotezugriff per RDP auch wirklich gewollt.
RDP  erleichtert die Fernadministration verteilter Microsoft-Systeme enorm, schafft zugleich aber ein attraktives Einfallstor für Cyberangriffe, die die Fähigkeiten von RDP missbrauchen. Eine aktuelle Studie belegt, dass das Remote-Desktop-Protokoll tatsächlich eine große und anfällige Angriffsfläche in vielen Organisationen schafft: Laut dem "Vectra 2019 Spotlight Report on RDP" für den Zeitraum vom Januar bis Juni 2019 hat die KI-basierte Plattform Cognito 26.800 verdächtige RDP-Vorgänge in mehr als 350 Implementierungen erkannt. 90 Prozent dieser Implementierungen wiesen Verhaltenserkennungen von RDP-Angreifern auf.

In der Fertigungsindustrie und in der Finanz- und Versicherungsbranche lag die höchste Rate an RDP-Erkennungen mit zehn beziehungsweise acht Erkennungen pro 10.000 Workloads und Geräten vor. Die fünf häufigsten Angriffsziele waren neben der Fertigungsindustrie und Finanzbranche der Einzelhandel, die öffentliche Verwaltung und das Gesundheitswesen. Die drei erstgenannten Branchen machten zusammen fast die Hälfte aller RDP-Erkennungen aus. Innerhalb der Fertigungsindustrie wiesen mittelgroße Unternehmen die höchste Rate mit 20 Erkennungen pro 10.000 Workloads oder Geräten auf.
So gehen Angreifer bei RDP-Attacken vor
Die folgenden drei Beispiele zeigen, dass die Nutzung von RDP als Teil der Angriffstaktik weltweit im großen Stil umgesetzt wird und sich teilweise auf staatliche Akteure zurückführen lässt. Zum einen ist da SamSam: Dabei handelt es sich um ein Computer-Hacking- und Erpressungs-Programm, von dem über 200 Organisationen, darunter kritische Infrastrukturen, Krankenhäuser und Regierungsbehörden, weltweit und vor allem in den USA fast drei Jahre lang betroffen waren. Nach Angaben des US-Justizministeriums ergaunerten die Cyberangreifer rund sechs Millionen US-Dollar aus Lösegeldzahlungen und verursachten gleichzeitig über 30 Millionen US-Dollar Schaden als Folge der Angriffe. Einige der bemerkenswertesten Fälle betrafen Angriffe auf die Stadt Atlanta, die Stadt Newark, den Hafen von San Diego und das Kansas Heart Hospital.

Die Cyberangreifer nutzten RDP, um dauerhaften Zugriff auf die Netzwerke der Opfer zu erhalten. Nachdem sie sich Zugriff auf ein Netzwerk verschafft hatten, erweiterten sie ihre Privilegien auf Administratorrechte, schleusten Malware auf dem Server ein und führten eine ausführbare Datei aus, ohne jegliche Aktivität oder Autorisierung seitens der Opfer. RDP ermöglichte es den Cyberangreifern, mit minimaler Erkennungswahrscheinlichkeit Opferumgebungen zu infizieren.

Die Analyse von in den kompromittierten Netzwerken gefunden Tools ergab, dass die Cyberangreifer mehrere der gestohlenen RDP-Zugangsdaten von etablierten Marktplätzen im Darknet gekauft hatten. Eine Begutachtung der Zugriffsprotokolle der Opfer durch das FBI ergab, dass die SamSam-Akteure die Netzwerke bereits innerhalb weniger Stunden nach dem Kauf der Zugangsdaten infizierten. Bei der Sanierung der infizierten Systeme fanden mehrere Opfer verdächtige Aktivitäten in ihren Netzwerken, die nichts mit SamSam zu tun hatten. Diese Aktivitäten sind ein möglicher Indikator dafür, dass weitere Zugangsdaten gestohlen, im Darknet verkauft und für andere illegale Aktivitäten verwendet wurden.
15.01.2020/ln/Andreas Müller, Regional Director DACH bei Vectra Networks

Nachrichten

Emotet hält Deutschland weiter in Atem [23.01.2020]

Stadtverwaltungen, Kliniken und Universitäten hatten in letzter Zeit vermehrt mit Hackerangriffen zu kämpfen. Sie alle wurden von Emotet lahmgelegt. Der Trojaner zählt aktuell zu den gefährlichsten Schadprogrammen, warnt das BSI. Gegen Malware jeglicher Art können sich Unternehmen allerdings schützen, wenn E-Mail-Links und -Anhänge in Hardware-isolierten Micro-VMs ausgeführt werden. [mehr]

Unternehmensdaten sicher übertragen [22.01.2020]

Mit der "ZyWALL VPN1000" stellt Zyxel sein bislang umfassendstes VPN-Angebot vor. Das Gerät soll mittelständischen Unternehmen ermöglichen, sicher auf Informationen zuzugreifen und diese über mehrere Standorte oder hybride Clouds hinweg zu übertragen. [mehr]

Tipps & Tools

Vorschau November 2019: Container & Anwendungsserver [21.10.2019]

Das Bereitstellen von Anwendungen ist eine zentrale Administrationsaufgabe und Fehler hierbei fallen Mitarbeitern wie Kunden unmittelbar auf. Eine wichtige Rolle spielt das Fundament für Applikationen, die Serverlandschaft. In der November-Ausgabe beleuchtet IT-Administrator das Thema "Container & Anwendungsserver". Darin lesen Sie etwa, welche Best Practices Sie bei Microsofts IIS nutzen sollten und wie Sie Container-Logdaten mit Fluentbit auswerten. Außerdem werfen wir einen Blick auf die Orchestrierung von Containern und die Kubernetes-Alternative Nomad. In den Tests tritt der Solarwinds Server & Application Monitor an. [mehr]

VPC richtig konfigurieren [18.08.2019]

Wenn Sie eine Virtual Private Cloud für die Verwendung mit Amazon Aurora anlegen, ist es wichtig diese richtig zu konfigurieren. Grundsätzlich muss eine Virtual Private Cloud (VPC), die einen Amazon-Aurora-DB-Cluster enthält, mindestens zwei Availability Zones (AZ) umfassen. Jede AZ muss außerdem mindestens ein Subnetz bereithalten. Für das folgende Beispielszenario melden Sie sich in der AWS Management Console an und öffnen dort die VPC-Konsole. [mehr]

Buchbesprechung

Handbuch Online-Shop

von Alexander Steireif, Rouven Rieker, Markus Bückle

Anzeigen