Zscaler Blog

Erhalten Sie die neuesten Zscaler Blog-Updates in Ihrem Posteingang

Abonnieren
Ransomware

Inhalt

  1. Artikel
  2. Weitere Blogs

Es vergeht leider kein Tag, an dem nicht ein neuer Cyberangriff versehentlich über VPN eingeleitet wird.

Kürzlich berichtete Computer Weekly über einen Angriff mit Sodinokibi-Ransomware, die am Silvesterabend die IT-Systeme des Devisenunternehmens Travelex lahmlegte. Der Angriff konnte nur gelingen, weil das Unternehmen vergessen hatte, seine Pulse-Secure-VPN-Server zu patchen. 

Leider häufen sich derartige Vorfälle immer mehr, da VPNs zum bevorzugten Angriffsziel für Cyberkriminelle geworden sind.
 

Veraltete Technik führt zu Angriffen

Als Remote-Access-VPNs vor 30 Jahren eingeführt wurden, waren sie ziemlich beeindruckend. Remote-Access von überall aus war ein zukunftsorientiertes und wegweisendes Konzept. VPNs wurden allerdings zu einer Zeit entwickelt, als die meisten Applikationen in Rechenzentren ausgeführt wurden, die problemlos mit einer Reihe von Netzwerksicherheits-Appliances abgesichert werden konnten.

Mit der zunehmenden Verlagerung von internen Anwendungen in die Cloud hat sich die Lage jedoch verändert. Organisationen wollen einerseits positive Anwendererfahrungen gewährleisten, die den Ansprüchen ihrer User entsprechen. Andererseits wissen sie nur allzu gut, dass 98 % aller Angriffe über das Internet erfolgen.

Der Zugriff über Remote-Access-VPNs setzt voraus, dass Server im Internet zugänglich sind und User über statische Tunnel ins Unternehmensnetzwerk eingebunden werden. Dadurch werden sozusagen Löcher in die Firewall gebohrt. Dieselbe Technologie, die Unternehmen früher zuverlässig schützte, macht sie heute anfällig für Angriffe durch neuartige Malware und Ransomware. 

Wie konnte es dazu kommen?
 

Ablauf eines Malware-Angriffs

In einem letzte Woche auf Medium.com veröffentlichten Beitrag werden die Methoden beschrieben, mit denen die Sodinokibi-Gruppe ihre Ransomware über VPNs ins Unternehmensnetzwerk einschleust. Im Folgenden wollen wir uns dieses Verfahren im Einzelnen anschauen:
 

  1. Cyberkriminelle durchsuchen das Internet nach nicht gepatchten Remote-Access-VPN-Servern.
  2. Remote-Access ins Netzwerk gelingt (ohne gültige Benutzernamen oder Passwörter).
  3. Angreifer sehen Logs und zwischengespeicherte Passwörter im Klartext.
  4. So erhalten sie Zugang zum Domain-Administrator.
  5. Über das gesamte Netzwerk hinweg findet eine laterale Verbreitung statt.
  6. Multifaktorenauthentifizierung (MFA) und Endgerätesicherheit werden deaktiviert.
  7. Ransomware (in diesem Fall Sodinokibi) wird in Netzwerksysteme eingeschleust.
  8. Das Unternehmen wird gezwungen, Lösegeld zu zahlen.

Negative Auswirkungen von VPN

Viele Organisationen halten Remote-Access-VPNs nach wie vor für notwendig. In einigen Fällen mag das sogar stimmen. Weit häufiger exponieren VPNs jedoch das Netzwerk im Internet und vergrößern dadurch die Angriffsfläche des Unternehmens. 
 

  • Patching erfolgt zu langsam oder wird ganz vergessen – Sicherheitsteams stehen zunehmend unter Druck, mit weniger Ressourcen mehr zu leisten – eine Überforderung, die zur Entstehung von Sicherheitslücken führt, wenn VPN-Server nicht rechtzeitig gepatcht werden.  
  • Einbinden von Benutzern in das Netzwerk – Vielleicht der Ursprung aller Probleme im Zusammenhang mit Remote-Access-VPNs. Damit VPNs funktionieren, müssen Netzwerke erkennbar sein. Die Sichtbarkeit macht Organisationen anfällig für Angriffe.
  • Laterales Risiko in exponentiellem Umfang – Sobald Malware ins Netzwerk eingedrungen ist, kann sie sich lateral verbreiten, selbst wenn versucht wird, das Netzwerk zu segmentieren (was an sich schon ein komplexes Verfahren ist). Wie oben erwähnt, kann dies auch zum Ausfall anderer Sicherheitstechnologien wie MFA und Endgerätesicherheit führen.
  • Der Ruf des Unternehmens – Ihre Kunden vertrauen darauf, dass Sie ihre Daten schützen und den bestmöglichen Service bieten. Um dazu in der Lage zu sein, müssen sich Unternehmen selbst schützen können. Die Nachricht von einem Ransomware-Angriff wirkt sich nachteilig auf den Ruf Ihrer Marke aus.

Argumente für einen neuen Ansatz

Viele Organisationen sind sich der negativen Auswirkungen von VPNs inzwischen bewusst und suchen aktiv nach Alternativen. Laut Einschätzung von Gartner wird dieser Trend dazu führen, dass „60 % aller Unternehmen bis 2023 den Großteil ihrer Remote-Access-VPNs außer Betrieb nehmen und stattdessen auf Zero Trust Network Access (ZTNA) umstellen werden“.

Alternativen wie ZTNA bieten Ihrer Organisation eine ganze Reihe handfester Vorteile gegenüber Remote-Access-VPN, die auch der Geschäftsführung unmittelbar einleuchten dürften:
 

  • Minimierung des Unternehmensrisikos – ZTNA ermöglicht den Zugriff auf bestimmte Geschäftsanwendungen (basierend auf Richtlinien), ohne dass Netzwerkzugang erforderlich ist. Außerdem wird mit ZTNA keine Infrastruktur offen gelegt, sodass Applikationen und Services niemals im Internet sichtbar sind.
  • Kostensenkung – ZTNA kann häufig komplett als Cloud-Service bereitgestellt werden, was bedeutet, dass keine Server gekauft, gepatcht oder verwaltet werden müssen. Dies beschränkt sich nicht auf den VPN-Server. Das gesamte eingehende VPN-Gateway kann verkleinert oder völlig entfernt werden (externe Firewall, DDoS, interne Firewall, Load Balancer usw.).
  • Vermittlung einer besseren Nutzererfahrung – Angesichts der höheren Verfügbarkeit von ZTNA-Services aus der Cloud, im Vergleich zu begrenzten eingehenden VPN-Appliance-Gateways, erhalten Remote-Benutzer unabhängig von Anwendung, Gerät oder Standort eine schnellere und nahtlosere Erfahrung.

HINWEIS: Nicht überall, wo ZTNA draufsteht, ist tatsächlich ZTNA drin. Vorsicht ist insbesondere bei Anbietern geboten, die vermeintliche „Zero Trust“-Lösungen anbieten, mit denen User weiterhin im Netzwerk platziert und Geschäftsanwendungen im Internet exponiert werden.

Organisationen, die ihr Remote-Access-VPN durch eine zukunftsfähige Lösung ersetzen wollen, finden hier wichtige Hinweise. Ansonsten sollten Sie unbedingt daran denken, Ihre VPN-Server regelmäßig zu patchen. Wenn Sie mehr darüber wissen wollen, wie Sie Angriffe effektiv abwehren können, empfehlen wir Ihnen folgende Ressourcen zur Lektüre: 
 

Christopher Hines ist Leiter des Produktmarketings für Zscaler Private Access und Z App.

form submtited
Danke fürs Lesen

War dieser Beitrag nützlich?

vote yes
Ja, sehr hilfreich!
vote no
Nicht wirklich

Weitere Zscaler-Blogs erkunden

Ransomware
Technical Analysis of CryptNet Ransomware
Blog lesen
Trigona ransomware
Technical Analysis of Trigona Ransomware
Blog lesen
Nevada ransomware
Nevada Ransomware: Yet Another Nokoyawa Variant
Blog lesen
Ransomware hacker
Nokoyawa Ransomware: Rust or Bust
Blog lesen
01 / 02
dots pattern

Erhalten Sie die neuesten Zscaler Blog-Updates in Ihrem Posteingang

Mit dem Absenden des Formulars stimmen Sie unserer Datenschutzrichtlinie zu.