Weltweit installierte Honeypots wurden von Cyberkriminellen alle sechs Sekunden angegriffen; „Widder“, „Schwarm“ und „Igel“ sind die häufigsten Angriffsmuster der Cyberkriminellen

juillet 22, 2019 —

Sophos hat seine knapp viermonatige Studie „RDP Exposed: The Threat That’s Already at your Door“ abgeschlossen und die Langzeitergebnisse veröffentlicht. Sie zeigt, wie Cyberkriminelle unerbittlich versuchen, Unternehmen via Remote Desktop Protocol (RDP) anzugreifen. Folgend sind die wichtigsten Ergebnisse zusammengefasst: RDP ist nach wie vor ein valider Grund für schlaflose Nächte von Systemadministratoren. Im vergangenen Jahr haben sich Cyberkriminelle – neben den zwei großen Ransomware-Angriffen Matrix und SamSam – fast vollständig auf Netzwerkzugriffe mit RDP konzentriert und andere Methoden weitgehend aufgegeben.

Matt Boddy, Security-Spezialist bei Sophos und Leiter der Studie erklärt: „In jüngster Zeit hat ein Fehler bei der Ausführung des Remote-Code im RDP - genannt BlueKeep (CVE-2019-0708) - für Schlagzeilen gesorgt. Dies ist eine so schwerwiegende Schwachstelle, dass sie dazu genutzt werden kann, eine Ransomware-Welle auszulösen, die sich innerhalb von Stunden weltweit ausbreiten könnte. Die Absicherung gegen RDP-Bedrohungen geht weit über das Patchen von Systemen gegen BlueKeep hinaus, denn dies ist nur die Spitze des Eisbergs. Zudem müssen IT-Manager dem RDP deutlich mehr Aufmerksamkeit schenken. Denn wie unsere Studie zeigt, attackieren Cyberkriminelle alle potenziell gefährdeten Computer mit RDP indem sie versuchen die Passwörter herauszufinden.  Die neue RDP-Studie von Sophos zeigt, wie Angreifer RDP-fähige Geräte bereits kurz nach dem Erscheinen im Internet finden. Als Demonstration setzte Sophos zehn geografisch verteilte Honeypots ein, um RDP-basierte Risiken zu messen und zu quantifizieren.

Folgend eine Zusammenfassung der Untersuchungsergebnisse:

  • Alle zehn Honeypots erhielten ihren ersten RDP-Login-Versuch innerhalb eines Tages.
  • Das Remote Desktop Protocol exponiert PCs in nur 84 Sekunden.
  • Die zehn RDP Honeypots protokollierten insgesamt 4.298.513 fehlgeschlagene Anmeldeversuche über einen Zeitraum von 30 Tagen. Dies entspricht einem Angriffsversuch alle sechs Sekunden.
  • Im Allgemeinen wird angenommen, dass Cyberkriminelle Websites wie Shodan nutzen, um nach offenen RDP-Quellen zu suchen. Die Studie von Sophos zeigt jedoch, dass Cyberkriminelle ihre eigenen Werkzeuge und Techniken haben, um offene RDP-Quellen zu finden, und sich nicht unbedingt nur auf Websites von Drittanbietern verlassen.

Hackerverhalten aufgedeckt

Sophos hat auf der Grundlage der Studie unterschiedliche Angriffsmuster identifiziert. Dazu gehören drei Hauptprofile: der Widder, der Schwarm und der Igel:

  • Der Widder ist eine Strategie, die darauf abzielt, ein Administrator-Passwort zu hacken. Ein Beispiel der Studie ist, dass ein Angreifer im Laufe von zehn Tagen 109.934 Anmeldeversuche am irischen Honeypot mit nur drei Benutzernamen machte, um Zugang zu erhalten.
  • Der Schwarm ist eine Strategie, die sequentielle Benutzernamen und eine endliche Anzahl der schlechtesten Passwörter verwendet. Ein Beispiel aus der Studie: In Paris wurde ein Angreifer registriert, der den Benutzernamen ABrown neunmal innerhalb von 14 Minuten verwendete, gefolgt von neun weiteren Versuchen mit dem Benutzernamen BBrown, anschließend mit CBrown, gefolgt von DBrown und so weiter. Das Muster wurde mit A.Mohamed, AAli, ASmith und anderen wiederholt.
  • Der Igel ist gekennzeichnet durch eine hohe Aktivität, gefolgt von längeren Inaktivitätsphasen. Ein Beispiel in Brasilien zeigt, dass jeder Spike, der von einer IP-Adresse erzeugt wird, etwa vier Stunden dauert und aus 3.369 bis 5.199 Passwortraten besteht.

Boddy erklärt, was der Umfang dieser RDP-Gefahr für Unternehmen bedeutet: „Derzeit gibt es weltweit mehr als drei Millionen Geräte, die über RDP zugänglich sind, und es ist heute ein bevorzugter Einstiegspunkt für Cyberkriminelle. Sophos hat darüber berichtet, wie Kriminelle, gezielt Ransomware wie BitPaymer, Ryuk, Matrix und SamSam einsetzen, und fast vollständig auf andere Methoden verzichtet haben, um in ein Unternehmen einzudringen. Alle Honeypots wurden innerhalb weniger Stunden entdeckt, nur weil sie per RDP im Internet sichtbar waren. Der grundlegende Lösungsansatz besteht darin, den Einsatz von RDP so weit wie möglich zu reduzieren und sicherzustellen, dass hervorragende Passwörter im Unternehmen angewendet werden. Unternehmen müssen handeln und die passende Security zum Schutz vor den unerbittlichen Angreifern nutzen."“

Eine Kopie der Studie steht zum Download bereit unter: www.sophos.com/RDP

À propos de Sophos

Sophos est un leader mondial de la cybersécurité qui protège 600000organisations à travers le monde grâce à une plateforme optimisée par l’IA et à des services fournis par des experts. Sophos accompagne les entreprises, quel que soit leur niveau de maturité en matière de cybersécurité, et évolue avec elles pour déjouer les cyberattaques. Ses solutions offrent une combinaison optimale entre apprentissage automatique, automatisation et renseignements sur les menaces en temps réel, à laquelle s’ajoute l’expertise humaine de l’équipe Sophos X-Ops, qui travaille en première ligne pour assurer la surveillance, la détection et la réponse aux menaces 24h/24 et 7j/7.
Sophos propose des services managés de détection et de réponse (MDR) de pointe, ainsi qu’un portefeuille complet de technologies de cybersécurité, parmi lesquelles des solutions de sécurité Endpoint, réseau, email et cloud, ainsi que des solutions de détection et de réponse étendues (XDR), de détection et de réponse aux menaces liées à l’identité (ITDR) et de SIEM de nouvelle génération. Associées à des services de conseil spécialisés, ces capacités aident les entreprises à réduire leurs risques de manière proactive et à répondre plus rapidement, tout en bénéficiant de la visibilité et de l’évolutivité nécessaires pour garder une longueur d’avance sur les menaces en constante évolution.
Sophos commercialise ses produits via un écosystème mondial de partenaires, comprenant des fournisseurs de services managés (MSP), des fournisseurs de services de sécurité managés (MSSP), des revendeurs et distributeurs, une marketplace d’intégrations et des partenaires spécialisés dans les cyber risques. Cette stratégie offre aux entreprises la flexibilité nécessaire pour choisir des partenaires de confiance pour protéger leurs opérations.  Le siège de l’entreprise est basé à Oxford, au Royaume-Uni. Plus d’informations sont disponibles sur www.sophos.fr.