Ransomware und kein Ende

Neues Jahr, bekanntes Thema: bei Gefahren im Internet und Cybersecurity-Themen kommen wir auch 2024 nicht an Ransomware vorbei.

Ransomware resp. Erpressungstrojaner, die Daten verschlüsseln und erst nach einer Lösegeldzahlung wieder frei geben, gehören nach wie vor zu den großen Gefahren für Unternehmen und ihre IT-Systeme. Das einzig „Erfreuliche“, wenn man so will, ist laut Sicherheitsforschern, dass die Opfer der Angriffe immer seltener auf Lösegeldforderungen eingehen und Zahlungen leisten. Außerdem zeichnet sich ab, dass die Lösegeldsummen sinken.

Kein Lösegeld zu zahlen gehört zu den wichtigsten Empfehlungen bei einem Ransomware-Angriff (s. auch die Empfehlungen der Initiative „No more Ransom“). Daher ist diese Tendenz tatsächlich positiv zu werten und dürfte auch dadurch begründet sein, dass Unternehmen bessere Sicherheitsvorkehrungen treffen. So ermöglicht beispielsweise eine Backup-Strategie die Wiederherstellung der verschlüsselten Daten, ohne auf Lösegeldforderungen eingehen zu müssen.

Daneben beobachten Sicherheitsexperten aber auch weniger erfreuliche Trends. Dazu gehört, dass wieder häufiger kleinere Unternehmen in den Fokus der Cyberkriminellen rücken. Außerdem ändert sich die Strategie, wie sie sich ihren Weg auf die Systeme ihrer Opfer bahnen. Bislang führte der Weg oft über Phishing E-Mails, neuerdings aber werden RDP-Verbindungen kompromittiert und ausgenutzt, um Schadcode einzuschleusen.

Microsofts Remote Desktop Protocol (RDP) ermöglicht es Systemadministratoren, Windows-Systeme zu verwalten und Benutzern bei Problemen via Fernzugriff behilflich zu sein. Die Angriffsmethode „RDP Hijacking“ setzt dabei nicht auf eventuelle Schwachstellen, sondern nutzt vorhandene Features des RDP-Dienstes aus.

Der Angreifer nimmt nämlich eine zuvor beendete RDP-Verbindung eines autorisierten Administrators, die sich im Ruhezustand befindet, wieder auf und setzt sie fort. Diese Taktik ist leichter auszuführen, als an Administrator-Login-Daten heranzukommen.

So hat der Kriminelle ungehinderten Zugriff auf Systeme, ohne Zugangsdaten zu benötigen. Er kann sich unbehelligt bewegen, denn auch ein Monitoring, schlägt nicht an, ist er doch als legitimer Nutzer getarnt. Auch hinterlässt er keine Spuren, die nachträglich ausgewertet werden könnten.

RDP ist ein gängiger und viel genutzter Dienst für die Fernwartung von Windows-Systemen und Windows-Servern. Zudem kommt kaum ein Unternehmensnetzwerk ohne Windows-Systeme aus. Und nicht zuletzt hat etwa die Corona-Krise die Bedeutung und Notwendigkeit von Fernadministration erheblich befördert. Dass macht diese Angriffsmethode attraktiv.

Fernzugänge zu IT-Systemen stellen immer auch ein Risiko dar. Doch es gibt Schutzmaßnahmen, mit denen man vorbeugen kann. Zu den wichtigsten bei diesem Angriffsmodell gehört, getrennte Remote-Desktop-Sitzungen nicht länger im Ruhemodus zu lassen, sondern die Benutzer direkt abzumelden. Das lässt sich über Gruppenrichtlinien regeln und kann so als Standard etabliert werden. Damit ist ein wichtiges Einfallstor verriegelt.

Einmal mehr zeigt das Beispiel des RDP Hijacking, dass die Cybergefahren immer komplexer und unübersichtlicher werden. Der Umstand, dass Angreifer genau dieselben Werkzeuge und Dienste nutzen wie IT-Administratoren und Security-Spezialisten macht es nicht einfacher reale Bedrohungen früh genug zu erkennen. Denn auch das gehört zur Wahrheit: mit einer Technik wie der Übernahme von RDP-Verbindungen steht Angreifern potentiell viel Zeit zur Verfügung, in der sie ihren kriminellen Aktivitäten unentdeckt nachgehen können.