Nachdem es in den letzten Wochen ein bisschen ruhiger geworden ist um Ransomware-Angriffe, stellt unser CSIRT nun wieder einen Anstieg der Verschlüsselungsangriffe fest. Dabei beobachten wir altbekannte initiale Angriffsvektoren wie Phishing Mails oder unzureichend geschützte Remote Zugänge wie Citrix, RDP oder eben auch VPN. Aus diesem Grund informiert Sie Stefan Rothenbühler, Senior Cyber Security Analyst, über die aktuellen Erkenntnisse.
Durch die Corona-bedingte Tendenz, die Mitarbeitenden vermehrt ihre Arbeit von zu Hause aus zu errichten, nehmen logischerweise auch die Angriffe zu, welche die Home Office Infrastruktur der betroffenen Unternehmen ausnutzen. Vielerorts wurden Remote Lösungen wie VPN, Citrix oder RDP entweder innerhalb kürzester Zeit aufgebaut oder bestehende Lösungen für Partnerzugriffe auf eine grosse Basis an Mitarbeitenden ausgeweitet.
Durch die angestiegene Verwendung von VPN-Lösungen wurden in den letzten Jahren auch immer wieder teilweise gravierende Sicherheitslücken in VPN-Produkten gefunden und ausgenutzt. Anfang 2020 wurde zum Beispiel eine Sicherheitslücke in der Pulse Secure VPN Appliance bekannt, welche es Angreifern erlaubte, ohne sich authentifiziert zu haben, verschiedene Dateien auf der Appliance auszulesen. Darunter auch eine Datenbank mit Passwörtern der Benutzer in Klartext (data.mdb).
Solche Zugänge wurden nach dem Bekanntwerden der Sicherheitslücke von verschiedensten Gruppierungen weltweit gesammelt, die Sicherheitslücken dabei automatisiert ausgenutzt. Die so gesammelten Zugänge werden dann in Hacking Foren oder im Dark Net zum Verkauf angeboten. Es ist also gut möglich, dass auch der Zugang zu Ihrem Unternehmen gerade für 10$ irgendwo im Untergrund feilgeboten wird. Dabei ist eine Kompromittierung auch dann noch möglich, wenn Sie die Sicherheitslücke schon längst gepatcht haben.
Wir empfehlen aufgrund von aktuellen Beobachtungen dringendst:
Ein weiterer sehr guter Schutz bietet der Einsatz von MFA (Multi Factor Authentication). Wir empfehlen schon länger, jegliche Zugänge welche im Internet exponiert sind, durch einen zweiten Faktor zusätzlich zu schützen. Einfach zu erratende, gephishte oder durch Sicherheitslücken gestohlene Passwörter reichen somit für den Angreifer zur Kompromittierung und Verschlüsselung von Unternehmen nicht mehr aus sondern der Angreifer müsste auch den zweiten Faktor aushebeln, was schwieriger und zeitaufwändiger ist. Somit wird er sich ein lohnenderes Ziel aussuchen ohne zusätzlichen Faktor.
Meistens werden wir von Firmen kontaktiert, welche bereits von einem Ransomware-Vorfall betroffen sind und rücken dann mit unserem CSIRT (unsere Cyber-Feuerwehr) aus. Gerne hätten wir in solchen Fällen schon vorher geholfen. Sind bei Ihnen VPN oder andere Remote Zugänge ohne MFA im Einsatz? Es ist bloss eine Frage der Zeit bis diese erfolgreich angegriffen werden. Wir helfen Ihnen gerne diese Zugänge besser zu schützen.
Haben Sie den Verdacht, dass sie von der Pulse Secure-Lücke betroffen waren? Gerne untersuchen wir Ihre Infrastruktur mittels Konfigurations-Review und Compromise Assessment um Ihren Verdacht zu bestätigen und die Gefahr abzuwenden oder um Ihnen die Sicherheit zu geben, dass Ihr Unternehmen nicht betroffen ist.
Bei einem Ransomeware-Vorfall ist es entscheidend schnell und professionell zu handeln. Unser Incident Response Retainer ist hier die optimale und effektivste Lösung. In einem gemeinsamen Onboarding-Workshop bereiten wir Sie auf den Ernstfall vor. Sollte dieser eintreten, können wir zusammen mit Ihnen richtig reagieren: schnell, kompetent und mit viel Erfahrung – und das 24x7. Mehr zu unserem Incident Response Retainer erfahren Sie hier: