infoguard-blog-csirt-ransomware-via-vpn

[InfoGuard CSIRT-Warnung] Wenn Ransomware via VPN kommt

Nachdem es in den letzten Wochen ein bisschen ruhiger geworden ist um Ransomware-Angriffe, stellt unser CSIRT nun wieder einen Anstieg der Verschlüsselungsangriffe fest. Dabei beobachten wir altbekannte initiale Angriffsvektoren wie Phishing Mails oder unzureichend geschützte Remote Zugänge wie Citrix, RDP oder eben auch VPN. Aus diesem Grund informiert Sie Stefan Rothenbühler, Senior Cyber Security Analyst, über die aktuellen Erkenntnisse.

Der Angreifer im Home Office?

Durch die Corona-bedingte Tendenz, die Mitarbeitenden vermehrt ihre Arbeit von zu Hause aus zu errichten, nehmen logischerweise auch die Angriffe zu, welche die Home Office Infrastruktur der betroffenen Unternehmen ausnutzen. Vielerorts wurden Remote Lösungen wie VPN, Citrix oder RDP entweder innerhalb kürzester Zeit aufgebaut oder bestehende Lösungen für Partnerzugriffe auf eine grosse Basis an Mitarbeitenden ausgeweitet.

Vermehrt Sicherheitslücken in VPN-Lösungen

Durch die angestiegene Verwendung von VPN-Lösungen wurden in den letzten Jahren auch immer wieder teilweise gravierende Sicherheitslücken in VPN-Produkten gefunden und ausgenutzt. Anfang 2020 wurde zum Beispiel eine Sicherheitslücke in der Pulse Secure VPN Appliance bekannt, welche es Angreifern erlaubte, ohne sich authentifiziert zu haben, verschiedene Dateien auf der Appliance auszulesen. Darunter auch eine Datenbank mit Passwörtern der Benutzer in Klartext (data.mdb).

Einen VPN-Zugang für 10$ bitte!

Solche Zugänge wurden nach dem Bekanntwerden der Sicherheitslücke von verschiedensten Gruppierungen weltweit gesammelt, die Sicherheitslücken dabei automatisiert ausgenutzt. Die so gesammelten Zugänge werden dann in Hacking Foren oder im Dark Net zum Verkauf angeboten. Es ist also gut möglich, dass auch der Zugang zu Ihrem Unternehmen gerade für 10$ irgendwo im Untergrund feilgeboten wird. Dabei ist eine Kompromittierung auch dann noch möglich, wenn Sie die Sicherheitslücke schon längst gepatcht haben.

Wichtigster Schutz: Multi Factor Authentication (MFA)

Wir empfehlen aufgrund von aktuellen Beobachtungen dringendst:

  1. Die Passwörter von Pulse Secure Appliances zurückzusetzen. Dies betrifft sowohl die Benutzer-Accounts als auch die Administratoren- und Service-Accounts zur Konfiguration.

  2. Die Konfiguration der Pulse Secure Appliance auf unnötig exponierte Services zu überprüfen.

Ein weiterer sehr guter Schutz bietet der Einsatz von MFA (Multi Factor Authentication). Wir empfehlen schon länger, jegliche Zugänge welche im Internet exponiert sind, durch einen zweiten Faktor zusätzlich zu schützen. Einfach zu erratende, gephishte oder durch Sicherheitslücken gestohlene Passwörter reichen somit für den Angreifer zur Kompromittierung und Verschlüsselung von Unternehmen nicht mehr aus sondern der Angreifer müsste auch den zweiten Faktor aushebeln, was schwieriger und zeitaufwändiger ist. Somit wird er sich ein lohnenderes Ziel aussuchen ohne zusätzlichen Faktor.

InfoGuard hilft Ihnen – rund um die Uhr

Meistens werden wir von Firmen kontaktiert, welche bereits von einem Ransomware-Vorfall betroffen sind und rücken dann mit unserem CSIRT (unsere Cyber-Feuerwehr) aus. Gerne hätten wir in solchen Fällen schon vorher geholfen. Sind bei Ihnen VPN oder andere Remote Zugänge ohne MFA im Einsatz? Es ist bloss eine Frage der Zeit bis diese erfolgreich angegriffen werden. Wir helfen Ihnen gerne diese Zugänge besser zu schützen.

Haben Sie den Verdacht, dass sie von der Pulse Secure-Lücke betroffen waren? Gerne untersuchen wir Ihre Infrastruktur mittels Konfigurations-Review und Compromise Assessment um Ihren Verdacht zu bestätigen und die Gefahr abzuwenden oder um Ihnen die Sicherheit zu geben, dass Ihr Unternehmen nicht betroffen ist.

Kontaktieren Sie unser CSIRT Team!

Bei einem Ransomeware-Vorfall ist es entscheidend schnell und professionell zu handeln. Unser Incident Response Retainer ist hier die optimale und effektivste Lösung. In einem gemeinsamen Onboarding-Workshop bereiten wir Sie auf den Ernstfall vor. Sollte dieser eintreten, können wir zusammen mit Ihnen richtig reagieren: schnell, kompetent und mit viel Erfahrung – und das 24x7. Mehr zu unserem Incident Response Retainer erfahren Sie hier:

Incident Response Retainer

<< >>

Breach Detection , CSIRT

Stefan Rothenbühler
Über den Autor / Stefan Rothenbühler

InfoGuard AG - Stefan Rothenbühler, Principal Incident Responder

Weitere Artikel von Stefan Rothenbühler


Ähnliche Artikel
[InfoGuard CSIRT-Warnung] Aktuelle Ransomware-Angriffe mit Pakettrick
[InfoGuard CSIRT-Warnung] Aktuelle Ransomware-Angriffe mit Pakettrick

Momentan untersucht das InfoGuard CSIRT zahlreiche Ransomware-Angriffe auf Schweizer Unternehmen. Dabei [...]
Ransomware – immer professioneller, immer gefährlicher
Ransomware – immer professioneller, immer gefährlicher

Dass Ransomware-Attacken stattfinden, ist inzwischen weitbekannt. Dennoch nehmen die Attacken nicht ab – im [...]

Spannende Artikel, aktuelle News sowie Tipps & Tricks von unseren Experten rund um Cyber Security & Defence.

Blog Updates abonnieren
Social Media
infoguard-cyber-security-ratgeber-2