Jump to content

Einfallstore Ransomeware?


Recommended Posts

Guten Abend,

 

ich habe schon zwei Ransom Fälle durchgemacht, das war aber schon vor 4 Jahren.

 

Leider bekommt man bei den Meldungen, die an die "Öffentlichkeit" dringen, nie genau Info´s. Mein Stand ist, dass das Haupteinfallstor einfach ein email Anhang ist, den jemand ausführt und dann fängt er an zu verschlüsseln. Aber: Wie kann den das soweit gehen das z.B. die Telefonanlage ausfällt und soviele Dateien verschlüsselt werden, das gar nichts mehr geht? Das müsste doch wenn dann einem Administrator auslösen oder jemanden der eben Domänen-Admin ist und Zugriff auf alle Laufwerke hat? Sehe ich das falsch oder weiß ich noch etwas nicht?

Seit meinen Fällen werden Gebtsmühlenartig Schulungen durchgefüht, wo es immer um die Anhänge geht und wie man solche Emails erkennt. Neue Mitarbeiter bekommen weder einen Arbeitsplatz noch Zugangsdaten bevor sie die Sicherheitsschulung durchgemacht haben. Sprich: Wenn ich nur den Exchange mit 25, 465 und 443 für SSL-VPN im Internet hab, die Mitarbeiter die Strikte Anweisung haben, auch nur bei dem geringsten Verdacht die Email an die Abteilung weiter zu leiten - wie kommt bitte die Verschlüsselung noch in das Netz?

 

Das zweite sind die gravierdende Sicherheitslücken (s. Exchangelücke im Januar bzw. Solarwinds Software) verstehe ich auch. Über RDP - klar wenn man den Server mit den RDP Ports ins Netzt hängt, aber VPN wird doch überall als Standard eingesetzt oder geht das auch einfach so??

 

Übersehe ich etwas?

 

Danke!
Thomas

 

 

Edited by Thomas Maggnussen
Link to post

Hallo,

 

das Problem sind nicht unbedingt die Anhänge, sondern die laschen Sicherheitseinstellungen, die aus Kompatibilitäts-, Komforts- und Unwissenheitsgründen nicht angepasst werden. Man kann mit wenigen Handgriffen dem Werkzeug Nr. 1 der Hacker den Wind aus den Segeln nehmen.

 

Im Allgemeinen kann man sagen, ohne das ich mich hier zu weit aus dem Fenster lehne, dass die Sicherheit nur so stark ist, wie das schwächste Glied. Detailliertere Informationen findet man schon, wenn man sucht. Verstehen dieser ist wieder etwas anderes. Deshalb ist es nicht verkehrt sich eben gerade Dienstleister einzukaufen. :-)

Link to post
vor einer Stunde schrieb Thomas Maggnussen:

die Mitarbeiter die Strikte Anweisung haben, auch nur bei dem geringsten Verdacht die Email an die Abteilung weiter zu leiten - wie kommt bitte die Verschlüsselung noch in das Netz?

 

Weil sie es nicht tun, sondern trotzdem darauf klicken. Und dann kommt das, was @MurdocX meint - lateral movement und credential theft.

  • Like 1
Link to post
vor einer Stunde schrieb Thomas Maggnussen:
 

Über RDP - klar wenn man den Server mit den RDP Ports ins Netzt hängt, aber VPN wird doch überall als Standard eingesetzt oder geht das auch einfach so??

VPN ist ein schwieriges Thema. Jemand hat mal gesagt, VPN ist nur für zwei Dinge gut: Es öffnet ein Tor ins Datacenter und erlaubt IT-Abteilungen, sich der Modernisierung der Legacy-Anwendungen zu widersetzen.

Viele Firmen, die vor der Pandemie gar keine Remote-Arbeit hatten, haben VPN zum Glück übersprungen und gleich auf VDI mit einem Prä-Authentifizierungsgateway am Perimeter gesetzt.

Aber bei vielen ist VPN tatsächlich Standard, und jetzt kommt's:

 

08:45 Laptop wird angemacht und ist im gleichen Netz (HeimWLAN) mit dem ungepatchten Drucker, dem ungepatchten ZigBee, zwei Kinder, die mit dubiösen Apps am Tablet rummachen und dem Default-Passwort am Router.

08:59 Du kommst vom Frühstück und baust die VPN-Verbindung in die Firma auf.

09:00 VPN ist aufgebaut. Weil Du aber auf Deinem WLAN-Drucker auch arbeitsbedingt drucken musst, ist VPN als Split-Tunnel konfiguriert.

 

Finde einen Fehler auf diesem Bild ;-) 

 

  • Haha 2
Link to post

Hi @Thomas Maggnussen.
Die Entrypoints für Ransomware sind tatsächlich in der Praxis sehr unterschiedlich, ich liste dir einfach mal diverse Möglichkeiten auf:

 

  • E-Mail (beinhaltet Attachments, Download Links, Phishing, etc.)
  • Drive-By Downloads
  • Zero Day Exploits (Citrix NetScaler, Exchange, Webserver, etc.)
  • Konfigurationsfehler
  • VPN Tunnel jeglicher Art (Site2Site, SSL-VPN)
  • Infizierte Hardware (USB Sticks)
  • Social Engineering

Es gibt heutzutage sehr gute Methoden und Techniken, die Wahrscheinlichkeit eines erfolgreichen Ransomware-Angriffs einschließlich der damit verbundenen Auswirkungen drastisch zu reduzieren.

Link to post
Gerade eben schrieb falkebo:

Es gibt heutzutage sehr gute Methoden und Techniken, die Wahrscheinlichkeit eines erfolgreichen Ransomware-Angriffs einschließlich der damit verbundenen Auswirkungen drastisch zu reduzieren.

Hast du auch so eine bullet list? ;)

Link to post
vor 21 Minuten schrieb cj_berlin:

08:45 Laptop wird angemacht und ist im gleichen Netz (HeimWLAN) mit dem ungepatchten Drucker, dem ungepatchten ZigBee, zwei Kinder, die mit dubiösen Apps am Tablet rummachen und dem Default-Passwort am Router.

08:59 Du kommst vom Frühstück und baust die VPN-Verbindung in die Firma auf.

09:00 VPN ist aufgebaut. Weil Du aber auf Deinem WLAN-Drucker auch arbeitsbedingt drucken musst, ist VPN als Split-Tunnel konfiguriert.

 

Finde einen Fehler auf diesem Bild ;-) 

Ah, ich wusste es. Das Einfallstor sind die Kinder...

  • Haha 1
Link to post
vor 9 Minuten schrieb falkebo:

 

Magst du die denn haben? ;)

Das Schlimme ist, 90% der Dinge, die dort stehen werden, sind seit 20 Jahren nicht neu, und werden trotzdem nicht oder nur halbherzig angegangen. Ich hatte auf der CIM dieses Jahr ein Bildchen dazu gezeigt:

Wegwerf-Demo.thumb.png.c3e67014016d2efac7946e0e9b054b55.png

vor 2 Minuten schrieb MurdocX:

Ah, ich wusste es. Das Einfallstor sind die Kinder...

Bingo!

  • Haha 3
Link to post
vor 15 Minuten schrieb cj_berlin:

Das Schlimme ist, 90% der Dinge, die dort stehen werden, sind seit 20 Jahren nicht neu, und werden trotzdem nicht oder nur halbherzig angegangen. Ich hatte auf der CIM dieses Jahr ein Bildchen dazu gezeigt:

 

 

Ich würde 20 Jahre mit 5-10 Jahre ersetzen, ansonsten gebe ich dir Recht.
 

  • Angemessenes Backup Konzept samt Disaster Recovery Plan -> Halbe Miete
  • Endpoint Detection & Response Lösung (EDR / XDR) für alle Clients und Server (gerne inkl. Ransomware Schutz auf Endpoints und Fileserver)
  • Active Directory Security (Tiering Konzept, AD Hardening, PAWs, MFA für privilegierte Konten, Device Guard & Credential Guard, etc.)
  • Vernünftige Netzwerksegmentierung samt Next-Gen Perimeter Firewall
  • Angemessenes Patchmanagement (OS inkl. 3Party Software)
  • State of the Art E-Mail Content Filter

 

Wenn die obigen Punkte alle eingehalten werden, wird keiner Kopfschmerzen mit Ransomware haben.
Das ist natürlich kein fertiger Bauplan sondern lediglich ein paar Bullet Points, aber wem erzähle ich es, ihr wisst es ja eh schon.

Edited by falkebo
Link to post

... und jetzt spioniere ich die Reinigungsfirma aus, bewerbe mich dort, warte auf einen Einsatz beim Ziel und habe intern Zugriff auf die Hardware. :grins1:

(Alternativ verschaffe ich mir als "IT-Dienstleister", Interessent, oder sonst wer Zutritt ins Gebäude.)

Link to post

Moin,

 

vor 11 Stunden schrieb cj_berlin:

Finde einen Fehler auf diesem Bild

ich möchte auflösen:

 

Man sollte sich mehr Zeit fürs Frühstück nehmen als 14 Minuten inkl. Weg. Das ist für die körperliche Gesundheit besser.

 

Gruß, Nils

 

  • Haha 1
Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...