Loading…
ransomware s w 0 c, tags: von 90 % der - media.istockphoto.com

Kompromittiertes RDP ist für 90 % der Ransomware-Angriffe verantwortlich

Eine aktuelle Analyse von Sophos zeigt einen alarmierenden Trend bei Ransomware-Angriffen auf: 90 % der Angriffe erfolgen über das Remote Desktop Protocol (RDP), berichtet das Sicherheitsunternehmen.

Bei der Überprüfung von 150 Incident Response-Fällen aus dem Jahr 2023 hat Sophos festgestellt, dass RDP-Missbrauch ein häufiger Einstiegspunkt für Bedrohungsakteure ist, um sich Zugang zu Windows-Umgebungen zu verschaffen.

Diese Erkenntnis unterstreicht die Bedeutung von RDP als bevorzugte Methode für das erstmalige Eindringen in Ransomware-Attacken, die im vergangenen Jahr 65 % der Fälle ausmachten.

Ein erschreckendes Beispiel: Ein einziges Opfer erlebte innerhalb von sechs Monaten vier erfolgreiche Einbrüche, die alle über offene RDP-Ports erfolgten.

John Shier von Sophos argumentiert: „Externe Remote-Dienste sind eine notwendige, aber riskante Voraussetzung für viele Unternehmen.“

Sobald sich Angreifer Zugang verschafft hatten, konnten sie sich seitlich durch die Netzwerke bewegen und weitere bösartige Aktivitäten durchführen, wie das Herunterladen von Malware, das Deaktivieren von Sicherheitssoftware und das Einrichten von Fernzugriff.

Warum Remote Desktop Protokoll

RDP ist aufgrund mehrerer Faktoren ein attraktives Ziel für Ransomware-Akteure:

Seine weite Verbreitung unter Netzwerkadministratoren bietet eine große Anzahl potenzieller Ziele.

Bedrohungsakteure können es ausnutzen, ohne dass Antiviren- oder EDR-Tools (Endpoint Detection and Response) rote Fahnen auslösen.

Der Dienst ist oft unzureichend gesichert, da viele öffentlich zugängliche RDP-Ports durch schwache Anmeldeinformationen geschützt sind.

Für RDP werden häufig privilegierte Konten verwendet, was den potenziellen Schaden, den ein Angreifer anrichten kann, erhöht.

Die Freigabe von Diensten ohne sorgfältige Prüfung und Abschwächung ihrer Risiken führt unweigerlich zu einer Gefährdung. Es dauert nicht lange, bis ein Angreifer einen exponierten RDP-Server findet und in ihn eindringt, und ohne zusätzliche Kontrollen ist es auch nicht einfach, den Active Directory-Server zu finden, der auf der anderen Seite wartet

John Shier, Sophos Field CTO

Administratoren deaktivieren häufig die Network Level Authentication, eine Sicherheitsfunktion, die unbefugte Zugriffsversuche abwehren soll.

Viele Unternehmen versäumen es, ihre Netzwerke effektiv zu segmentieren, wodurch laterale Bewegungen und Datenexfiltration ermöglicht werden, sobald der erste Einbruch stattgefunden hat.

Unternehmen verlassen sich aus Gründen der betrieblichen Effizienz in hohem Maße auf externe Remote-Dienste wie Remote Desktop Protocol (RDP), die aber auch ein verlockendes Ziel für Cyberkriminelle darstellen. Die Verlockung, diese Schwachstellen auszunutzen, ist für Angreifer so groß, dass sie ihre Bemühungen beharrlich und strategisch auf diesen Bereich konzentrieren.