Ransomware Pro-Lock nutzt Qbot und RDP
2. Juni 2020
Bei der ATT&CKing ProLock-Ransomware setzen die Angreifer beim Erstzugriff auf fremde Netzwerke auf zwei Hauptvektoren: QakBot (Qbot) und ungeschützte Remote Desktop Protocol (RDP)-Server mit schwachen Zugangsdaten.
Erfolg ein Ransomware-Angriff über ATT&CKing ProLock, haben betroffene Unternehmen folgende Optionen, um damit fertig zu werden und den Schaden einzudämmen. Doch generell ist eine Konfiguration, in der ein Remote Desktop Protocol (RDP)-Host dem Internet ausgesetzt wird, eine schlechte Idee. In Deutschland, Österreich und der Schweiz gibt es aktuell rund 200.000 exponierte RDP-Hosts, von denen knapp 6.000 auch für die Remote-Execution-Schwachstelle EternalKeep anfällig sind.
Solche exponierten RDP-Hosts und schwache Zugangsberechtigungen wurden von den Betreibern der ProLock Ransomware ins Visier genommen, um in Netzwerke einzudringen. Ransomware-Angriffe wie ProLock haben auch zu Datendiebstahl geführt, bevor die Informationen verschlüsselt wurden, um Unternehmen dazu zu bringen, das Lösegeld zu zahlen. Diese Nötigungstaktiken machen Ransomware-Angriffe noch teurer.
Bei Ransomware handelt es sich um eine heimtückische Bedrohung, die sich mit maschineller Geschwindigkeit virulent über die internen Netzwerke des Opfers ausbreitet, und es gibt keine perfekten Abwehrmechanismen. Um Informationen zu exfiltrieren, zielen Angriffe auf privilegierte Einheiten ab und nutzen diese aufgrund des ungehinderten Zugangs, den sie bieten können.
Die Eskalation von einem regulären Benutzerkonto zu einem privilegierten Konto ist ein entscheidender Schritt für die Angreifer auf dem Weg zu ihrem Ziel. Privilegierte Einheiten sind nicht nur auf Konten beschränkt, sondern auch auf Hosts und Dienste innerhalb der Netzwerkumgebung.
Bei dieser Art von Hochgeschwindigkeitsangriffen ist Zeit die wertvollste Ressource des verteidigenden Sicherheitsteams. Eine frühzeitige Erkennung und Reaktion kann den Unterschied ausmachen zwischen einem eingedämmten, minimierten Vorfall oder der Situation, in der man mit massiven Geschäftsunterbrechungen und Kosten konfrontiert ist. (rhh)
