{"id":3372,"date":"2019-08-16T15:00:29","date_gmt":"2019-08-16T15:00:29","guid":{"rendered":"https:\/\/www.neam.de\/?p=15417"},"modified":"2019-08-16T15:00:29","modified_gmt":"2019-08-16T15:00:29","slug":"studie-zeigt-hoechste-gefahr-fuer-cyberangriffe-via-rdp","status":"publish","type":"post","link":"https:\/\/www.kai-wittenburg.de\/?p=3372","title":{"rendered":"Studie zeigt h\u00f6chste Gefahr f\u00fcr Cyberangriffe via RDP"},"content":{"rendered":"
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n
\n

Weltweit installierte Honeypots wurden von Cyberkriminellen alle sechs Sekunden angegriffen; \u201eWidder\u201c, \u201eSchwarm\u201c und \u201eIgel\u201c sind die h\u00e4ufigsten Angriffsmuster der Cyberkriminellen<\/span><\/strong><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/form>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n

\n
\n
\n
\n
\n\n
\n
\n
\n
\n
\n

Sophos hat seine knapp viermonatige Studie \u201eRDP Exposed: The Threat That\u2019s Already at your Door<\/a><\/span>\u201c abgeschlossen und die Langzeitergebnisse ver\u00f6ffentlicht. Sie zeigt, wie Cyberkriminelle unerbittlich versuchen, Unternehmen via Remote Desktop Protocol (RDP) anzugreifen. Folgend sind die wichtigsten Ergebnisse zusammengefasst: RDP ist nach wie vor ein valider Grund f\u00fcr schlaflose N\u00e4chte von Systemadministratoren. Im vergangenen Jahr haben sich Cyberkriminelle \u2013 neben den zwei gro\u00dfen Ransomware-Angriffen Matrix und SamSam \u2013 fast vollst\u00e4ndig auf Netzwerkzugriffe mit RDP konzentriert und andere Methoden weitgehend aufgegeben.<\/span><\/p>\n

\"\"<\/a><\/p>\n

Matt Boddy, Security-Spezialist bei Sophos und Leiter der Studie erkl\u00e4rt: \u201eIn j\u00fcngster Zeit hat ein Fehler bei der Ausf\u00fchrung des Remote-Code im RDP – genannt BlueKeep (CVE-2019-0708) – f\u00fcr Schlagzeilen gesorgt. Dies ist eine so schwerwiegende Schwachstelle, dass sie dazu genutzt werden kann, eine Ransomware-Welle auszul\u00f6sen, die sich innerhalb von Stunden weltweit ausbreiten k\u00f6nnte. Die Absicherung gegen RDP-Bedrohungen geht weit \u00fcber das Patchen von Systemen gegen BlueKeep hinaus, denn dies ist nur die Spitze des Eisbergs.<\/span><\/p>\n

Zudem m\u00fcssen IT-Manager dem RDP deutlich mehr Aufmerksamkeit schenken. Denn wie unsere Studie zeigt, attackieren Cyberkriminelle alle potenziell gef\u00e4hrdeten Computer mit RDP indem sie versuchen die Passw\u00f6rter herauszufinden.\u00a0 Die neue RDP-Studie von Sophos zeigt, wie Angreifer RDP-f\u00e4hige Ger\u00e4te bereits kurz nach dem Erscheinen im Internet finden. Als Demonstration setzte Sophos zehn geografisch verteilte Honeypots ein, um RDP-basierte Risiken zu messen und zu quantifizieren.<\/span><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/form>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n

\n
\n
\n
\n
\n\n
\n
\n
\n
\n
\n

Folgend eine Zusammenfassung der Untersuchungsergebnisse:<\/strong><\/span><\/h3>\n

– Alle zehn Honeypots erhielten ihren ersten RDP-Login-Versuch innerhalb eines Tages
\n<\/span>– Das Remote Desktop Protocol exponiert PCs in nur 84 Sekunden
\n– <\/span>Die zehn RDP Honeypots protokollierten insgesamt 4.298.513 fehlgeschlagene Anmeldeversuche \u00fcber einen Zeitraum von 30 Tagen. Dies entspricht einem Angriffsversuch alle sechs Sekunden
\n– <\/span>Im Allgemeinen wird angenommen, dass Cyberkriminelle Websites wie Shodan nutzen, um nach offenen RDP-Quellen zu suchen. Die Studie von Sophos zeigt jedoch, dass Cyberkriminelle ihre eigenen Werkzeuge und Techniken haben, um offene RDP-Quellen zu finden, und sich nicht unbedingt nur auf Websites von Drittanbietern verlassen<\/span><\/p>\n

Hackerverhalten aufgedeckt <\/strong><\/span><\/h3>\n

Sophos hat auf der Grundlage der Studie unterschiedliche Angriffsmuster identifiziert. Dazu geh\u00f6ren drei Hauptprofile: der Widder, der Schwarm und der Igel<\/span><\/p>\n

Der Widder<\/em> ist eine Strategie, die darauf abzielt, ein Administrator-Passwort zu hacken. Ein Beispiel der Studie ist, dass ein Angreifer im Laufe von zehn Tagen 109.934 Anmeldeversuche am irischen Honeypot mit nur drei Benutzernamen machte, um Zugang zu erhalten.
\n<\/span>Der Schwarm<\/em> ist eine Strategie, die sequentielle Benutzernamen und eine endliche Anzahl der schlechtesten Passw\u00f6rter verwendet. Ein Beispiel aus der Studie: In Paris wurde ein Angreifer registriert, der den Benutzernamen ABrown neunmal innerhalb von 14 Minuten verwendete, gefolgt von neun weiteren Versuchen mit dem Benutzernamen BBrown, anschlie\u00dfend mit CBrown, gefolgt von DBrown und so weiter. Das Muster wurde mit A.Mohamed, AAli, ASmith und anderen wiederholt.
\n– <\/span>Der Igel<\/em> ist gekennzeichnet durch eine hohe Aktivit\u00e4t, gefolgt von l\u00e4ngeren Inaktivit\u00e4tsphasen. Ein Beispiel in Brasilien zeigt, dass jeder Spike, der von einer IP-Adresse erzeugt wird, etwa vier Stunden dauert und aus 3.369 bis 5.199 Passwortraten besteht.<\/span><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/form>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n

\n
\n
\n
\n
\n\n
\n
\n
\n
\n
\n

Boddy erkl\u00e4rt, was der Umfang dieser RDP-Gefahr f\u00fcr Unternehmen bedeutet: „Derzeit gibt es weltweit mehr als drei Millionen Ger\u00e4te, die \u00fcber RDP zug\u00e4nglich sind, und es ist heute ein bevorzugter Einstiegspunkt f\u00fcr Cyberkriminelle. Sophos hat dar\u00fcber berichtet, wie Kriminelle, gezielt Ransomware wie BitPaymer, Ryuk, Matrix und SamSam einsetzen, und fast vollst\u00e4ndig auf andere Methoden verzichtet haben, um in ein Unternehmen einzudringen. <\/span><\/p>\n

Alle Honeypots wurden innerhalb weniger Stunden entdeckt, nur weil sie per RDP im Internet sichtbar waren. Der grundlegende L\u00f6sungsansatz besteht darin, den Einsatz von RDP so weit wie m\u00f6glich zu reduzieren und sicherzustellen, dass hervorragende Passw\u00f6rter im Unternehmen angewendet werden. Unternehmen m\u00fcssen handeln und die passende Security zum Schutz vor den unerbittlichen Angreifern nutzen.“<\/span><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/form>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n

\n
\n
\n
\n
\n
\n
\n

Sophos Intercept X bietet einzigartigen Next-Gen-Endpoint-Schutz vor v\u00f6llig neuen Bedrohungen. <\/h4>\n

Jetzt kostenlos und unverbindlich testen!<\/h5>\n<\/p><\/div>\n
\n
\n\t
\n\t\t<\/p>\n

\t\t\tKostenlose Testversion\t\t<\/span>
\n\t<\/a>\n<\/div>\n<\/div><\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n

\n
\n
\n
\n
\n

<\/p>\n

\n
\n <\/span><\/p>\n
<\/div>\n<\/p><\/div>\n

unverbindliche Beratung anfordern<\/h2>\n<\/p>\n

<\/span>
\n[contact-form-7]
\n
\n <\/article>\n

<\/span><\/p>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n<\/div>\n","protected":false},"excerpt":{"rendered":"

Weltweit installierte Honeypots wurden von Cyberkriminellen alle sechs Sekunden angegriffen; „Widder“, „Schwarm“ und „Igel“ sind die häufigsten Angriffsmuster der Cyberkriminellen Sophos hat seine knapp viermonatige Studie „RDP Exposed: The Threat That’s Already at your Door“ abgeschlossen und die Langzeitergebnisse veröffentlicht. Sie zeigt, wie Cyberkriminelle unerbittlich versuchen, Unternehmen via Remote Desktop Protocol (RDP) anzugreifen. Folgend sind […]<\/p>\n","protected":false},"author":41,"featured_media":0,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[20,5,6,3,7,76,18,852,4,12,17,15,16,14,8],"tags":[],"class_list":["post-3372","post","type-post","status-publish","format-standard","hentry","category-blog","category-bsi","category-isms","category-isms-bsi-iso-27001","category-iso27001","category-it-sicherheit","category-it-systeme","category-netzwerk-virtualisierung","category-notfallmanagement","category-penetrationstest","category-penetrationstests","category-risikomanagement","category-unternehmen","category-veranstaltungen","category-zertifizierung-audit"],"_links":{"self":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts\/3372","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/users\/41"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=3372"}],"version-history":[{"count":2,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts\/3372\/revisions"}],"predecessor-version":[{"id":3374,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=\/wp\/v2\/posts\/3372\/revisions\/3374"}],"wp:attachment":[{"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=3372"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=3372"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kai-wittenburg.de\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=3372"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}