ANGRIFFE AUF UNGESICHERTE VPN GATEWAYS!

RÜCKBLICK, AUSBLICK & EMPFEHLUNGEN

Ransomware ist in der einen oder anderen Form schon seit zwei Jahrzehnten unterwegs, wurde aber erst 2013 wirklich bekannt durch die CryptoLocker Ransomware. Aktuell rücken ungesicherte VPN-Gateways ins Visier der Erpresser. Ende letzten Jahres gab es gleich mehrere Vorfälle und auch 2020 ist kein Ende in Sicht.

Bei diesen Angriffen via VPN wird jedoch nicht nur die Ransomware verteilt.

Die VPN-Verbindungen werden gleichzeitig genutzt, um Backups zu löschen und eventuell vorhandene Schutzmaßnahmen auf den Systemen zu deaktivieren.

So gehen die Angreifer vor:

Zuerst durchsuchen die Angreifer das Internet nach ungepatchen Remote Access VPN-Servern und verschaffen sich Zutritt. Einmal im System suchen die Angreifer nach Passwörtern in Klartext und gelangen auf diese Weise an Administratoren-Zugang.
Durch laterale Bewegung im Netz wird der Angriff auf die gesamte IT-Infrastruktur eines Unternehmens ausgedehnt und dabei die Multifaktor-Authentifizierung und andere Sicherheitsvorkehrungen abgeschaltet bzw. Online-Backups gelöscht.
So wird es schließlich möglich Ransomware in das Unternehmensnetz einzuschleusen und damit Dateien zu verschlüsseln als Basis für die Erpressung eines Unternehmens.

_{(Quelle: Infopoint Security).}

Der Angriff auf TRAVELEX

Aufgrund eines ungepatchten Pulse Secure VPN-Servers gelang es am 31.12.2019 Angreifern das weltgrößte Währungsumtausch-Unternehmen Travelex zu hacken. Es wurden sechs Millionen Dollar für die Freigabe der Daten verlangt. (Lesen Sie mehr.)

#SHITRIX

Seit Wochen gibt es eine fatale Lücke in der Fernzugriffssoftware von Citrix (ADC und NetScaler). Derzeit gibt es nur einen Workaround und noch keinen Herstellerpatch. Seit 10.01.2020 ist allgemein bekannt, wie die Schwachstelle genutzt werden kann. Kurz drauf ist die erste große Angriffswelle losgerollt.

Unsere Beratung und Unterstützung startet stets mit einem DATENSCHUTZ-WORKSHOP und einer entsprechenden ANALYSE der aktuellen Situation. Danach stehen wir Ihnen bei der Ausarbeitung der UMSETZUNGSSTRATEGIE zur Seite und helfen Ihnen, die notwendigen MASSNAHMEN anhand unseres modularen Aufbaus Schritt für Schritt umzusetzen.

JETZT BERATUNGSTERMIN VEREINBAREN

In Österreich waren Anfang Jänner noch mehrere hundert Citrix Systeme ungepatcht

und somit wohl viele von Angriffen betroffen.

Die beschriebenen Angriffe auf VPN-Gateways werden uns wohl auch 2020 beschäftigen. Der Großteil der Ransomware-Angriffe wird vermutlich auch 2020 vermehrt Mail und Web als Angriffsvektor nutzen. Da die Unternehmen jedoch immer bessere Schutzvorkehrungen diesbezüglich treffen, werden Kriminelle neue Methoden suchen.

UNSERE SECURITY-EMPFEHLUNGEN

Um Ransomware-Angriffe via VPN zu erschweren, empfehlen wir folgende Maßnahmen:

Sehr schnelles Einspielen von Patches, wenn Sicherheitslücken in den Technologien zum Remote-Zugriff bekannt werden ist unbedingt notwendig.
- Hierbei ist es wichtig, das alle Technologien die das Unternehmen nutzt bekannt sind und entsprechend verwaltet werden.
  Stellen Sie sicher, dass Sie zeitnah von derartigen Problemen erfahren. Gute Partner/Lieferanten - wie Antares NetlogiX :-) - informieren proaktiv wenn Lücken in gelieferten Produkten bekannt werden.
- Sollte es sich bei dem VPN-Gateway um eine virtualisierte Appliance handeln, sollten Sie regelmäßige Snapshots bzw. Backups anlegen. Bei Hardware-Appliances sollten regelmäßige Konfigurationsbackups erfolgen. Dadurch können Änderungen am System im Ernstfall nachvollzogen werden und eine eventuell notwendige Downtime verkürzt sich.
Nutzung von Mehrfaktor-Anmeldung. Nur Benutzername und Passwort für das VPN-Login zu nutzen ist nicht mehr Stand der Technik und birgt große Risiken.
Auch im internen Netz sollten die Administratoren verstärkt auf Mehrfaktor-Anmeldung setzen um zu verhindern das ihre Kennwörter missbraucht werden.
Auswertung und Alarmierung der Logeinträge der VPN-Gateways: So können Angriffe rechtzeitig detektiert und entsprechende Gegenmaßnahmen gesetzt werden.

Wir bieten nicht nur verlässliche Security-Software-Lösungen, sondern auch Managed Security Services und Betriebsführung (Schwachstellen-Scans, Patchen, Software-Verteilung, Monitoring, usw).

Sprechen Sie uns an!