Suchen

Studie zu RDP-Attacken RDP bleibt ein großes Sicherheitsrisiko

| Autor / Redakteur: Andreas Müller / Peter Schmitz

RDP (Remote Desktop Protocol) ist ein weit verbreiteter Access Service, den Administratoren, mobile Mitarbeiter und Managed Service Provider (MSPs) vielfach nutzen. RDP schafft jedoch zugleich ein Einfallstor für Cyberangriffe, wie eine aktuelle Studie von Vectra belegt.

Firmen zum Thema

Cyberkriminelle nutzen Schwachstellen von RDP inzwischen aktiv als Teil ihrer Angriffstaktik weltweit im großen Stil aus.
Cyberkriminelle nutzen Schwachstellen von RDP inzwischen aktiv als Teil ihrer Angriffstaktik weltweit im großen Stil aus.
(Bild: gemeinfrei / Pixabay )

Laut Vectra 2019 Spotlight Report on RDP für den Zeitraum vom Januar bis Juni 2019 hat die KI-basierte Plattform Cognito 26.800 verdächtige RDP-Vorgänge in mehr als 350 Unternehmensumgebungen erkannt. 90 Prozent wiesen Verhaltenserkennungen von RDP-Angreifern auf. Die fünf häufigsten Angriffsziele waren neben der Fertigungsindustrie und Finanzbranche der Einzelhandel, die öffentliche Verwaltung und das Gesundheitswesen.

Die folgenden drei Beispiele zeigen, dass die Nutzung von RDP als Teil der Angriffstaktik weltweit im großen Stil umgesetzt wird und teilweise auf staatliche Akteure zurückgeführt werden kann.

Die Cyberspionage-Gruppe APT39 führt seit längerer Zeit eine umfangreiche Kampagne mit einer breiten Palette von benutzerdefinierten und gängigen Tools durch. APT39 konzentrierte sich dabei bislang auf personenbezogene Daten, um Überwachungs- oder Verfolgungsmaßnahmen zu unterstützen, die den nationalen Prioritäten des Iran dienen. Ziel der Angreifer ist es wohl auch, zusätzliche Zugänge und Vektoren zu schaffen, die zukünftige Kampagnen erleichtern.

APT40 führt mindestens seit 2013 Operationen zur Unterstützung der Modernisierungsbemühungen der chinesischen Marine durch. Die Gruppe verwendet kompromittierte Zugangsdaten, um sich an anderen verbundenen Systemen anzumelden und Auskundschaftungen durchzuführen. Die Gruppe nutzt neben RDP auch SSH (Secure Shell), legitime Software in der Opferumgebung, eine Reihe von nativen Windows-Funktionen, öffentlich verfügbare Tools sowie spezifische Scripts, um die interne Auskundschaftung zu erleichtern.

SamSam ist ein Computer-Hacking- und Erpressungs-Programm, von dem über 200 Organisationen, darunter kritische Infrastrukturen, Krankenhäuser und Regierungsbehörden, weltweit und vor allem in den USA fast drei Jahre lang betroffen waren. Nach Angaben des US-Justizministeriums ergaunerten sich die Cyberangreifer rund sechs Millionen US-Dollar aus Lösegeldzahlungen und verursachten gleichzeitig über 30 Millionen US-Dollar Schaden als Folge der Angriffe. Einige der bemerkenswertesten Fälle betrafen Angriffe auf die Stadt Atlanta, die Stadt Newark, den Hafen von San Diego und das Kansas Heart Hospital.

Effektive Enttarnung von vor RDP-Angriffen bietet eine KI-basierte Plattform zur Erkennung und Reaktion auf Netzwerbedrohungen bzw. verdächtiges Verhalten. Dieser Ansatz beruht darauf, Netzwerk-Metadaten mit dem richtigen Kontext zu sammeln, mit weiteren Bedrohungsdaten anzureichern und zu speichern für die weitere KI-gestützte Analyse. Dadurch ist es möglich, versteckte Bedrohungen in Echtzeit zu erkennen, zu verfolgen und zu untersuchen. Entscheidend ist hierbei auch die Skalierbarkeit, um große, verteilte Netzwerkumgebungen vollständig abzudecken. Die Kombination aus Cloud-Ressourcen sowie virtuellen und physischen Sensoren liefert die erforderliche Rundumsicht auf Cloud-, Rechenzentrums-, Benutzer- und IoT-Netzwerke, sodass Angreifer sich nirgendwo in der Unternehmensumgebung verstecken können. Dies verleiht Security-Teams die Fähigkeit zwischen legitimer RDP-Nutzung und den Missbrauch von RDP durch potentielle Angreifer schnell und präzise zu unterscheiden, bevor diese ihr Ziel erreichen.

Über den Autor: Andreas Müller ist Regional Director DACH bei Vectra AI.

(ID:46401257)