Anzeige

Ransomware

Die Security-Analysten des Zscaler-ThreatlabZ-Teams analysieren die Vorgehensweise des jüngsten Sodinokibi-Ransomware-Angriffs auf Travelex, der das Remote Access VPN-System als Einfallstor verwendete. 

Aufgrund eines ungepatchten VPN-Servers gelang es den Angreifern, das IT-System der englischen Devisengesellschaft bereits am Neujahrsabend stillzulegen. Da zunehmend Angriffe über VPNs erfolgen, wirft das Zscaler-Team einen Blick auf die Vorgehensweise.

Remote Access VPNs sind bereits seit 30 Jahren auf dem Markt, als der Fernzugriff von außerhalb des Firmennetzwerks in Mode kam. Zu dieser Zeit wurden die Firmenapplikationen im Rechenzentrum vorgehalten, das am Perimeter mit einem Stapel an Sicherheits-Appliances gesichert wurde. Durch die Cloudifizierung werden die Anwendungen heute zunehmend in die Wolke verlagert und gleichzeitig wächst das Gefahrenpotenzial durch Internet-basierte Angriffe, die laut Gartner mittlerweile 98 Prozent ausmachen. Durch Remote Access VPNs werden Server dem Internet ausgesetzt und die Anwender erhalten über einen statischen Tunnel Zugang zum Firmennetz. Diese Tunnel schlagen allerdings auch Löcher in die Firewall, so dass die gleiche Technologie, die ein Unternehmen schützen soll, dieses auch anfällig für moderne Angriffe macht.

Die Angreifer gehen dabei wie folgt vor: Sie durchsuchen das Internet nach ungepatchen Remote Access VPN-Servern und verschaffen sich ohne Kennwort und Benutzername Zutritt. Einmal im System durchsuchen die Angreifer Logs nach Passwörtern in Klartext und gelangen auf diese Weise an Administrator-Zugang im Netzwerk. Durch laterale Bewegung im Netz wird der Angriff auf die gesamte IT-Infrastruktur eines Unternehmens ausgedehnt und dabei Multifaktor-Authentifizierung und andere Sicherheitsvorkehrungen abgeschaltet. So wird es schließlich möglich Ransomware in das Unternehmensnetz einzuschleusen und damit Dateien zu verschlüsseln als Basis für die Erpressung eines Unternehmens.

Dieses Einfallstor spielt ihr Gefahrenpotenzial aus durch den Umgang mit Remote Access VPN Systemen. Eine Rolle spielen dabei folgende Faktoren:

  • Das Patchen der VPN-Systeme wird vergessen oder aufgrund von Ressourcenmangel zu langsam umgesetzt, wodurch sich Angreifern Schwachstellen auftun.
  • Anwender werden in das gesamte Netzwerk platziert und darin besteht die gesamte Genese des Angriffspotenzials. Da VPNs im Internet auffindbar sein müssen, tut sich damit ein Angriffsvektor auf.
  • Laterale Bewegungen im Netzwerk erlaubt die Ausbreitung von Malware, die auch trotz Netzwerksegmentierung (die aufgrund der Komplexität nicht überall eingesetzt wird) möglich ist.

Die negativen Folgen von RAS-VPNs haben alternative Lösungsansätze auf den Plan gebracht. Gartner geht davon aus, dass 60 Prozent der Unternehmen bis 2023 die meisten ihrer Remote Access VPNs auslaufen lassen werden und dafür auf Zero Trust Network Access (ZTNA) setzen. Mit Hilfe von ZTNA wird der Zugriff auf Ebene einer einzelnen Anwendung ermöglicht, ohne den Zugriff auf das gesamte Firmennetz zu öffnen. Da die Infrastruktur nicht mehr dem Internet ausgesetzt wird, werden Anwendungen im Internet unsichtbar und damit nicht angreifbar. Nicht zuletzt erhalten Remote Mitarbeiter durch einen ZTNA-Service schnellen und reibungslosen Zugriff auf ihre Anwendung, unabhängig mit welchem Gerät oder von welchem Standort aus sie darauf zugreifen.

Weitere Informationen zum Angriff  im Zscaler-ThreatLabZ-Blog.


Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!

 

Weitere Artikel

Hacker Russland

Russische Hacker nutzen Exim-Schwachstelle aus

Am Donnerstag, den 28. Mai 2020, veröffentlichte die NSA eine Sicherheitswarnung über Cyberattacken gegen E-Mail-Server, die von einer russischen Cyber-Spionagegruppe durchgeführt wurde. Ein Kommentar von Satnam Narang, Staff Research Engineer, Tenable.
Hacker Computer

Sinkendes Vertrauen unter Cyberkriminellen

Trend Micro, ein Anbieter von IT-Sicherheitslösungen, hat neue Erkenntnisse zu cyberkriminellen Aktivitäten sowie dem Handel mit Produkten und Dienstleistungen im Cyber-Untergrund veröffentlicht. Demnach schwindet das Vertrauen unter Cyberkriminellen…
Web-Traffic

Web-Traffic erholt sich nach COVID-19-Einschränkungen

Die Corona-Pandemie wirkt sich weiterhin auf die Auslastung des Internets und die Cyber-Sicherheit aus. In den Branchen Finanzdienstleistungen, Sport und Tourismus steigt der Datenverkehr aber wieder. Das sind die wichtigsten Ergebnisse des Cyber Threat Index…
Umfassende Security-Lösung

Zentrale Kontrolle von On-Premises-, Cloud- und IoT-Umgebungen

Wie wäre es mit einem Produkt mit leistungsstarken Funktionen zur Zusammenführung von Bedrohungsdaten und der zentralen Kontrolle von On-Premises-, Cloud- und IoT-Umgebungen? Ein solches Produkt mit dem unförmigen Namen Reveal(x) 360 kündigt ExtraHop an.

Anzeige

Newsletter Anmeldung

Smarte News aus der IT-Welt

Sie möchten wöchentlich über die aktuellen Fachartikel auf it-daily.net informiert werden? Dann abonnieren Sie jetzt den Newsletter!

Newsletter eBook

Exklusiv für Sie

Als Newsletter-Abonnent erhalten Sie das Booklet „Social Engineering: High Noon“ mit zahlreichen Illustrationen exklusiv und kostenlos als PDF!