RDP wird in 69 % der Angriffe für seitliche Bewegungen missbraucht

Cyber Security News

Etwa 90 % der von einem führenden Sicherheitsanbieter im letzten Jahr untersuchten Cyberangriffe betrafen den Missbrauch des Remote Desktop Protocol (RDP), und in 81 % wurde Ransomware eingesetzt.

Die Zahlen stammen aus dem neuen Active Adversary Playbook 2021, das Sophos aus den Erfahrungen seiner Frontline Threat Hunters und Incident Responder zusammengestellt hat.

Das Playbook zeigt, dass RDP zwar häufig genutzt wird, um sich einen ersten Zugang in das Unternehmen des Opfers zu verschaffen, insbesondere bei Ransomware-Attacken, dass es aber auch in 69 % der Fälle von Angreifern für laterale Bewegungen missbraucht wurde.

Techniken wie die Verwendung von VPNs und Multi-Faktor-Authentifizierung (MFA), die sich darauf konzentrieren, unbefugten externen Zugriff auf RDP zu verhindern, funktionieren nicht, wenn der Angreifer bereits im Netzwerk ist, warnt Sophos.

Tatsächlich scheint es so, als ob Angreifer zunehmend in der Lage sind, an den Perimeter-Schutzmaßnahmen vorbeizuschlüpfen, um Netzwerke zu infiltrieren. Die durchschnittliche Verweildauer in den von Sophos untersuchten Fällen betrug 11 Tage. Wenn man bedenkt, dass es sich bei vielen dieser Fälle um Ransomware-Angriffe handelte, die in der Regel weniger Zeit benötigen, sind 264 Stunden mehr als genug für Bedrohungsakteure, um ihr Unwesen zu treiben.

“Angesichts der Tatsache, dass Angreifer im Durchschnitt 11 Tage im Netzwerk verbringen und ihre Angriffe durchführen, während sie sich in routinemäßige IT-Aktivitäten mischen, ist es wichtig, dass Verteidiger die Warnzeichen verstehen, auf die sie achten und denen sie nachgehen müssen”, argumentiert John Shier, Senior Security Advisor bei Sophos.

“Eine der größten roten Flaggen ist zum Beispiel, wenn ein legitimes Tool oder eine Aktivität an einem unerwarteten Ort entdeckt wird. Vor allem sollten Verteidiger bedenken, dass Technologie zwar viel bewirken kann, aber in der heutigen Bedrohungslandschaft allein nicht mehr ausreicht. Menschliche Erfahrung und die Fähigkeit, zu reagieren, sind ein wichtiger Teil jeder Sicherheitslösung.”

Laut ESET stiegen die RDP-Angriffe zwischen Q1 und Q4 2020 um atemberaubende 768 %, da Cyber-Kriminelle sich darauf konzentrierten, ein Tool auszunutzen, das zunehmend von Remote-Mitarbeitern für den Zugriff auf ihre Unternehmens-Desktops verwendet wird.

Einige Teile dieses Artikels stammen aus:
www.infosecurity-magazine.com