Remote Desktop Protocol

Angriffe via Fernzugriff nehmen stark zu

Uhr

Brute-Force-Angriffe auf Remote-Desktop-Protocol-Server haben seit Beginn des Lockdowns und des Booms der Telearbeit deutlich zugenommen. Es liegt im Interesse der Unternehmen, ihren Fernzugang durch eine Reihe von Vorsichtsmaßnahmen abzuschirmen, da dieser Vektor wird für Ransomware-Angriffe bevorzugt.

(Source: kite_rin / Fotolia.com)
(Source: kite_rin / Fotolia.com)

Der vermehrte Einsatz von Telearbeit, um die Verbreitung von Covid-19 einzudämmen, ist ein Segen für Cyberkriminelle. Dies zeigt sich etwa an die starke Zunahme von Brute-Force-Angriffen auf Fernzugriffssysteme.

Ein aktueller Bericht von Kaspersky konzentriert sich auf Angriffe, die auf RDP-Server (Remote Desktop Protocol) abzielen, das proprietäre Fernzugriffsprotokoll von Microsoft. Die Daten zeigen seit Beginn der Eindämmungsmassnahmen eine beeindruckende Erfolgsbilanz bei Angriffen dieser Art in mehreren Ländern.

In Frankreich zum Beispiel stieg die Anzahl von 182’325 am 9. März auf 872’130 am 11. März. An dem Tag, am 11. März, begann der Lockdown und viele Mitarbeiter wechselten ins Homeoffice. Bis Mitte April ging die Häufigkeit von Brute-Force-Angriffen leicht zurück. Sie lag aber immer noch deutlich höher als vor der Pandemie.

RDP-Nutzung steigt um 41 Prozent

Für die Verbindung zu einem RDP-Server benötigt man einen Benutzernamen und ein Passwort. Ein Brute-Force-Angriff erzwingt den Zugriff, indem alle möglichen Kombinationen auf der Grundlage zufälliger Zeichenkombinationen oder eines Wörterbuchs mit beliebten oder kompromittierten Passwörtern getestet werden.

Gemäss des Shodan-Indizierungsdienstes ist die Nutzung von RDP seit Beginn der Pandemie um 41 Prozent gestiegen. "Angreifer, die Brute Force nutzen, gehen nicht chirurgisch vor, sondern operieren gebietsweise. Soweit wir es beurteilen können, kamen sie nach der massiven Verlagerung auf Heimarbeit logischerweise zu dem Schluss, dass die Zahl der schlecht konfigurierten RDP-Server und damit die Zahl der Angriffe steigen würde", erklärt Kaspersky.

Der bevorzugte Vektor für Ransomware-Angriffe

Wenn es den Cyberkriminellen gelingt, die RDP-Zugangsdaten zu finden, können sie anschliessend auf den Zielcomputer zugreifen. Laut einem Bericht von Coveware ist dies der bevorzugte Vektor für die Infektion mit Ransomware (insbesondere Phobos), deutlich vor Phishing und der Ausnutzung von Schwachstellen. Im Dark Web sind RDP-Zugangsdaten schon ab 20 US-Dollar zu finden.

Wie man sich schützen kann

Hastig aufgesetzte und schlecht gesicherte RDP-Server sind eine potenzielle Goldgrube für Cyberkriminelle. In dem Bericht erwähnt Kaspersky eine Reihe von Massnahmen, mit denen man sich vor Attacken schützen kann.

  • Verwenden Sie starke Passwörter.

  • RDP nur über ein Unternehmensnetzwerk zugänglich machen.

  • Netzwerk-Level-Authentifizierung (NLA) verwenden.

  • Wenn möglich eine Zwei-Faktor-Authentifizierung aktivieren.

  • Wenn RDP nicht genutzt wird, die Funktion deaktivieren und Port 3389 schliessen.

  • Eine zuverlässige Sicherheitslösung verwenden

Microsoft hat vor kurzem Sicherheitsrichtlinien für den Fernzugriff veröffentlicht. Mehr zum Thema finden Sie im Webdossier "Corona: Tipps, Tricks & Tools fürs Homeoffice". Das Dossier bietet neben Informationen und News zu Tricks und Tools auch Tipps, wie man im Homeoffice sicher arbeitet.

Webcode
DPF8_179434