So stoppen Sie RDP-basierte Ransomware-Angriffe mit Illumio

Über 90 Prozent der Ransomware-Angriffe sind laut Gartner vermeidbar. Sie sind auch bis zu einem gewissen Grad ziemlich vorhersehbar, da Angreifer dazu neigen, einem von nur einer Handvoll Bedrohungsvektoren zu folgen. Am beliebtesten ist die Ausnutzung des Remote Desktop Protocol (RDP), die laut einer Schätzungfast die Hälfte der Angriffe im 3. Quartal 2021 ausmachte. 

Fazit: Wenn Ihr Unternehmen Ransomware-Angriffe über RDP besser stoppen kann, hat es eine große Chance, das Cyberrisiko auf breiter Front zu minimieren.

Die gute Nachricht ist, dass Illumio Transparenz und Kontrolle dort bietet, wo Unternehmen sie am dringendsten benötigen: um zu verstehen, wo sie am stärksten gefährdet sind, und um dann Richtlinien in großem Umfang bereitzustellen, um die RDP-Kommunikation einzuschränken.

Was ist RDP?

RDP ist ein Microsoft-Protokoll, das es Computerbenutzern ermöglicht, eine Remoteverbindung zu PCs und Servern herzustellen. Es läuft auf jedem Windows-Server – allgegenwärtig, was es auch zu einem Hauptziel für Angriffe macht.

RDP-Angriffe nahmen während der Pandemie stark zu, als auch die Nutzung von Fernzugriffslösungen durch Heimarbeiter in die Höhe schnellte. Einer Studie zufolge stieg die Anzahl der Geräte, die RDP über Standard-Ports mit dem öffentlichen Internet verbinden, in einem einzigen Monat um über 40 Prozent.

Wie wird RDP missbraucht?

Es gibt mehrere Faktoren, die erklären, warum RDP-Ransomware-Angriffe so erfolgreich sind.

Viele Unternehmen haben nur einen schlechten Einblick in ihre IT-Netzwerkinfrastruktur. Das bedeutet, dass sie möglicherweise nicht wissen, wie viele RDP-Wege offen sind. Angriffe nutzen auch häufige Sicherheitsherausforderungen in Unternehmen aus, einschließlich einer effektiven Patch- und Passwortverwaltung.

Und so funktioniert es:

1. Ein Angreifer sucht nach Windows-Servern mit öffentlichen IP-Adressen und einem offenen Port 3389 (der häufig für RDP verwendet wird).
2. Sobald diese gefunden wurden, versucht der Bedrohungsakteur, die exponierten Server zu kompromittieren über:
3. Ausnutzung von Microsoft-Schwachstellen, die es ihnen ermöglichen könnten, die RDP-Authentifizierung zu umgehen oder Malware direkt über eine Verbindung auszuführen.
4. Brute-Force-RDP-Konten, die nur mit schwachen Anmeldeinformationen geschützt sind. Manchmal werden diese automatisierten Versuche zum Erraten von Passwörtern über mehrere Tage hinweg durchgeführt, um zu vermeiden, dass Alarm ausgelöst wird.
7. Sobald der erste Zugriff erfolgt ist, kann der Angreifer RDP oder andere Techniken verwenden, um lateral zu anderen Assets und Daten zu gelangen . Schließlich wird es im Netzwerk des Opfers Fuß gefasst haben, das groß genug ist, um weit verbreitete Ransomware einzusetzen und/oder sensible Daten zur Erpressung zu stehlen.

Stoppen von RDP-Ransomware-Angriffen

Bei der Verhinderung von RDP-Ransomware-Angriffen geht es zum Teil darum, sicherzustellen, dass die Systeme mit aktuellen Patches geschützt sind, und die Multi-Faktor-Authentifizierung zu aktivieren, um Versuche zum Knacken von Passwörtern einzudämmen.

Aber im Grunde geht es darum, zunächst zu verstehen, wo RDP in Ihrem Unternehmen läuft und wo Sie Verbindungen unterbrechen können, ohne die Geschäftsprozesse oder die Produktivität zu beeinträchtigen. Das Blockieren von Port 3389 auf diesen Servern reicht aus.

Die Reduzierung der Angriffsfläche auf diese Weise kann dazu beitragen, die Anzahl potenzieller Eindringpunkte zu minimieren. Es wird auch die Möglichkeit für Angreifer verringern, RDP zu nutzen, um sich durch ein Netzwerk zu bewegen. Dadurch bleibt eine geringere Anzahl verbleibender Server übrig, die überwacht und mit Best-Practice-Authentifizierungsrichtlinien gesichert werden müssen.

Wie Illumio helfen kann

Illumio wird bereits von einigen der weltweit größten und anspruchsvollsten Unternehmen eingesetzt, um die Ransomware-Bedrohung zu mindern – darunter mehr als 10 Prozent der Fortune-100-Unternehmen. Wir bieten die granulare Transparenz , die Sie benötigen, um zu verstehen, wo die RDP-Kommunikation stattfindet, und die Kontrolle, um sie bei Bedarf zu blockieren.

Der einfache dreistufige Ansatz von Illumio zur Minimierung des RDP-Ransomware-Risikos lautet wie folgt:

1. Zuordnen aller RDP-Server und -Verbindungen
2. Identifizierung wesentlicher und nicht wesentlicher Mitteilungen über das Programm zur Entwicklung des ländlichen Raums
3. Ergreifen Sie Maßnahmen mit einer einfachen, schnellen Richtlinienbereitstellung, um nicht wesentliche Kommunikation in großem Umfang einzuschränken

Weitere Best-Practice-Ratschläge zur Minderung von Ransomware-Risiken und wie Illumio dazu beitragen kann, Bedrohungen zu blockieren, finden Sie in unserem neuen E-Book Wie man Ransomware-Angriffe stoppt.