Ransomware attackiert VPN und RDP

Ransomware wird immer gefährlicher. Hacker nutzen vor allem das Remote Desktop Protocol (RDP) und Virtual Private Networks (VPN) als Einfallstore. E-Mail-Phishing verliert dagegen an Bedeutung.

Ransomware-Angriffe auf Unternehmen, mit denen Lösegeld erpresst werden soll, haben in der ersten Hälfte des Jahres 2020 einen historischen Höchststand erreicht. Jede Hacker-Gruppe hat ihre eigenen Methoden, doch die meisten Lösegeld-Vorfälle im 1. Halbjahr 2020 lassen sich auf eine Handvoll Angriffsvektoren zurückführen. Die drei beliebtesten sind ungesicherte RDP-Endpunkte und VPN-Appliances sowie E-Mail-Phishing, wobei sich RDP eindeutig als die Quelle der meisten Lösegeldvorfälle im Jahr 2020 entpuppt.

Das liegt nicht nur daran, dass im Homeoffice RDP stärker genutzt wird, sondern dieser Trend ist schon seit einem Jahr zu beobachten. Erpresser nehmen immer weniger Privatkunden ins Visier, sondern gehen stattdessen gehäuft auf Unternehmen los. RDP ist eine weitverbreitete Technologie für die Verbindung zu entfernten Systemen. Es gibt eine Vielzahl von Computern mit RDP-Ports, die online zugänglich sind. Das macht RDP zu einem riesigen Angriffsvektor für alle Arten von Cyberkriminellen. Systeme, die schwache Benutzernamen- und Passwort-Kombinationen verwenden, können kompromittiert und dann in so genannten „RDP-Shops“ zum Verkauf angeboten werden.

Auch VPN wird immer beliebter

Im Jahr 2020 ist mit der Nutzung von Virtual Private Networks (VPN) Appliances ein weiterer wichtiger Vektor für das Eindringen in Unternehmensnetzwerke aufgekommen. Seit dem Sommer 2019 wurden mehrere schwerwiegende Schwachstellen in VPN-Appliances der wichtigsten Anbieter aufgedeckt, darunter Pulse Secure, Palo Alto Networks, Fortinet, Citrix, Secureworks und F5. Während im vergangenen Jahr einige wenige Fälle von Lösegeldforderungen gemeldet wurden, stiegen die Zahlen im Jahr 2020 deutlich an.

Es ist also dringend notwendig, dass Administratoren diese Vektoren genau beobachten, Systeme patchen und Sicherheitsupdates installieren. Es ist eine Sache, wenn ein Angestellter einer geschickt getarnten Spear-Phishing-E-Mail zum Opfer fällt, und eine andere, wenn Sie Ihr VPN oder Ihre Netzwerkausrüstung über einen längeren Zeitraum ungepatcht lassen oder mit schwachen Benutzername und Passwörtern versehen.

Wir beraten Sie gerne: 07152/356111

Montag bis Freitag sind wir gerne von 8:00 bis 17:00 Uhr für Sie erreichbar. Unsere Kunden können uns auch bei Notfällen an 7 Tagen in der Woche, 24 Stunden über den Support erreichen.

Bitte geben Sie Ihren Namen ein.
Bitte geben Sie eine Nachricht ein.
Sie müssen die Allgemeinen Geschäftsbedingungen akzeptieren.

Vom DoS bis zum Datenklau – Angriffe über PDF Dokumente

PDF

Wer sich mit PDFs gegenüber Office-Dokumenten in Sicherheit wiegt, liegt falsch. Auf der Black Hat 2020 zeigte Jens Müller mehrere mögliche Angriffe.

Viele Nutzer sehen PDF-Dateien als ein vermeintlich sicheres Datenauschtauschformat für Rechnungen, Verträge und Formulare gegenüber Office-Suiten mit ihren Makro-Viren und anderen Exploits an. Sicherheitsforscher Jens Müller hat sich im Rahmen der Black Hat 2020 mit dem PDF-Standard beschäftigt und zahlreiche Implementierungsprobleme vom manchmal nicht eindeutigen Standard sowie Sicherheitsfallen im täglichen Gebrauch gefunden.

Hierzu hat Müller mit einem Editor PDF-Dokumente manipuliert. Das Resultat: Er kann mit simplen Endlosschleifen, die beim Öffnen die CPU-Last in die Höhe treiben, oder mit in den PDF eingebetteten und wenige Byte großen ZIP-Bomben, die nach dem Öffnen jedoch mehrere Gigabytes des Arbeitsspeichers in Anspruch nehmen, sogenannte DoS-Angriffe (Denial of Service) durchführen. Außerdem hat er es geschafft, dass eingegebene Daten – zum Beispiel von Formularen – an eine externe URL gesendet werden; schlimmer noch, er kann zudem auf Dateien des Anwenders zugreifen und diese im Netz veröffentlichen.

Um an Benutzerpasswörtern zu gelangen, benutzt Müller einen Network-Share als Dateipfad, über den er einen Druckauftrag startet. Damit kann er den NT User Name und NTLM Hash klauen, um diesen über einen URL Backchannel auf eine beliebige URL im Internet zu transportieren. Somit können mit einem präparierten PDF-Dokument auch Login-Daten geklaut werden – der Hash muss nur noch durch bekannte Methoden geknackt werden. Und wenn das Opfer zum Beispiel ein VPN oder Cloud-Paket wie Office 365 verwendet, kann sich der Angreifer damit in vielen Fällen ebenfalls in der Infrastruktur der Firma anmelden.

Darüber hinaus kann ein Hacker mit PDF-Dokumenten alle Dateien manipulieren, für die der Benutzer eine Schreibberechtigung hat. Ferner fand Müller eine Option zur Remote-Code-Ausführung, mit der ein Angreifer beliebigen im PDF geschmuggelten Code auf dem Zielsystem ausführen kann. Er betrachtet alle Angriffe, die eine Interaktion des Nutzers voraussetzen, als fehlgeschlagen: Oft genügt schon die Preview im Dateimanager – wie der Explorer oder Nautilus –, um den Angriff durchzuführen.

Mehr oder weniger betroffen und getestet sind 18 PDF-Reader unter Windows, zwei unter macOS, drei unter Linux sowie die Webbrowser Chrome, Firefox, Safari, Opera und Edge – unter zahlreichen Systemen von Windows 10 bis Android und Linux.

Wir beraten Sie gerne: 07152/356111

Montag bis Freitag sind wir gerne von 8:00 bis 17:00 Uhr für Sie erreichbar. Unsere Kunden können uns auch bei Notfällen an 7 Tagen in der Woche, 24 Stunden über den Support erreichen.

Bitte geben Sie Ihren Namen ein.
Bitte geben Sie eine Nachricht ein.
Sie müssen die Allgemeinen Geschäftsbedingungen akzeptieren.