Jump to content

Einfallstore Ransomeware?

Thomas Maggnussen
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Thomas Maggnussen Proficient

Thomas Maggnussen   2

Geschrieben
Geschrieben (bearbeitet)

Guten Abend,

 

ich habe schon zwei Ransom Fälle durchgemacht, das war aber schon vor 4 Jahren.

 

Leider bekommt man bei den Meldungen, die an die "Öffentlichkeit" dringen, nie genau Info´s. Mein Stand ist, dass das Haupteinfallstor einfach ein email Anhang ist, den jemand ausführt und dann fängt er an zu verschlüsseln. Aber: Wie kann den das soweit gehen das z.B. die Telefonanlage ausfällt und soviele Dateien verschlüsselt werden, das gar nichts mehr geht? Das müsste doch wenn dann einem Administrator auslösen oder jemanden der eben Domänen-Admin ist und Zugriff auf alle Laufwerke hat? Sehe ich das falsch oder weiß ich noch etwas nicht?

Seit meinen Fällen werden Gebtsmühlenartig Schulungen durchgefüht, wo es immer um die Anhänge geht und wie man solche Emails erkennt. Neue Mitarbeiter bekommen weder einen Arbeitsplatz noch Zugangsdaten bevor sie die Sicherheitsschulung durchgemacht haben. Sprich: Wenn ich nur den Exchange mit 25, 465 und 443 für SSL-VPN im Internet hab, die Mitarbeiter die Strikte Anweisung haben, auch nur bei dem geringsten Verdacht die Email an die Abteilung weiter zu leiten - wie kommt bitte die Verschlüsselung noch in das Netz?

 

Das zweite sind die gravierdende Sicherheitslücken (s. Exchangelücke im Januar bzw. Solarwinds Software) verstehe ich auch. Über RDP - klar wenn man den Server mit den RDP Ports ins Netzt hängt, aber VPN wird doch überall als Standard eingesetzt oder geht das auch einfach so??

 

Übersehe ich etwas?

 

Danke!
Thomas

 

 

bearbeitet von Thomas Maggnussen
Link zu diesem Kommentar
MurdocX Veteran

MurdocX   949

Geschrieben
Geschrieben

Hallo,

 

das Problem sind nicht unbedingt die Anhänge, sondern die laschen Sicherheitseinstellungen, die aus Kompatibilitäts-, Komforts- und Unwissenheitsgründen nicht angepasst werden. Man kann mit wenigen Handgriffen dem Werkzeug Nr. 1 der Hacker den Wind aus den Segeln nehmen.

 

Im Allgemeinen kann man sagen, ohne das ich mich hier zu weit aus dem Fenster lehne, dass die Sicherheit nur so stark ist, wie das schwächste Glied. Detailliertere Informationen findet man schon, wenn man sucht. Verstehen dieser ist wieder etwas anderes. Deshalb ist es nicht verkehrt sich eben gerade Dienstleister einzukaufen. :-)

Link zu diesem Kommentar
daabm Grand Master

daabm   1.354

Geschrieben
Geschrieben
vor einer Stunde schrieb Thomas Maggnussen:

die Mitarbeiter die Strikte Anweisung haben, auch nur bei dem geringsten Verdacht die Email an die Abteilung weiter zu leiten - wie kommt bitte die Verschlüsselung noch in das Netz?

 

Weil sie es nicht tun, sondern trotzdem darauf klicken. Und dann kommt das, was @MurdocX meint - lateral movement und credential theft.

  • Like 1
Link zu diesem Kommentar
cj_berlin Veteran

cj_berlin   1.313

Geschrieben
Geschrieben
vor einer Stunde schrieb Thomas Maggnussen:
 

Über RDP - klar wenn man den Server mit den RDP Ports ins Netzt hängt, aber VPN wird doch überall als Standard eingesetzt oder geht das auch einfach so??

VPN ist ein schwieriges Thema. Jemand hat mal gesagt, VPN ist nur für zwei Dinge gut: Es öffnet ein Tor ins Datacenter und erlaubt IT-Abteilungen, sich der Modernisierung der Legacy-Anwendungen zu widersetzen.

Viele Firmen, die vor der Pandemie gar keine Remote-Arbeit hatten, haben VPN zum Glück übersprungen und gleich auf VDI mit einem Prä-Authentifizierungsgateway am Perimeter gesetzt.

Aber bei vielen ist VPN tatsächlich Standard, und jetzt kommt's:

 

08:45 Laptop wird angemacht und ist im gleichen Netz (HeimWLAN) mit dem ungepatchten Drucker, dem ungepatchten ZigBee, zwei Kinder, die mit dubiösen Apps am Tablet rummachen und dem Default-Passwort am Router.

08:59 Du kommst vom Frühstück und baust die VPN-Verbindung in die Firma auf.

09:00 VPN ist aufgebaut. Weil Du aber auf Deinem WLAN-Drucker auch arbeitsbedingt drucken musst, ist VPN als Split-Tunnel konfiguriert.

 

Finde einen Fehler auf diesem Bild ;-) 

 

  • Haha 2
Link zu diesem Kommentar
falkebo Fellow

falkebo   21

Geschrieben
Geschrieben

Hi @Thomas Maggnussen.
Die Entrypoints für Ransomware sind tatsächlich in der Praxis sehr unterschiedlich, ich liste dir einfach mal diverse Möglichkeiten auf:

 

  • E-Mail (beinhaltet Attachments, Download Links, Phishing, etc.)
  • Drive-By Downloads
  • Zero Day Exploits (Citrix NetScaler, Exchange, Webserver, etc.)
  • Konfigurationsfehler
  • VPN Tunnel jeglicher Art (Site2Site, SSL-VPN)
  • Infizierte Hardware (USB Sticks)
  • Social Engineering

Es gibt heutzutage sehr gute Methoden und Techniken, die Wahrscheinlichkeit eines erfolgreichen Ransomware-Angriffs einschließlich der damit verbundenen Auswirkungen drastisch zu reduzieren.

Link zu diesem Kommentar
MurdocX Veteran

MurdocX   949

Geschrieben
Geschrieben
vor 21 Minuten schrieb cj_berlin:

08:45 Laptop wird angemacht und ist im gleichen Netz (HeimWLAN) mit dem ungepatchten Drucker, dem ungepatchten ZigBee, zwei Kinder, die mit dubiösen Apps am Tablet rummachen und dem Default-Passwort am Router.

08:59 Du kommst vom Frühstück und baust die VPN-Verbindung in die Firma auf.

09:00 VPN ist aufgebaut. Weil Du aber auf Deinem WLAN-Drucker auch arbeitsbedingt drucken musst, ist VPN als Split-Tunnel konfiguriert.

 

Finde einen Fehler auf diesem Bild ;-) 

Ah, ich wusste es. Das Einfallstor sind die Kinder...

  • Haha 1
Link zu diesem Kommentar
cj_berlin Veteran

cj_berlin   1.313

Geschrieben
Geschrieben
vor 9 Minuten schrieb falkebo:

 

Magst du die denn haben? ;)

Das Schlimme ist, 90% der Dinge, die dort stehen werden, sind seit 20 Jahren nicht neu, und werden trotzdem nicht oder nur halbherzig angegangen. Ich hatte auf der CIM dieses Jahr ein Bildchen dazu gezeigt:

Wegwerf-Demo.thumb.png.c3e67014016d2efac7946e0e9b054b55.png

vor 2 Minuten schrieb MurdocX:

Ah, ich wusste es. Das Einfallstor sind die Kinder...

Bingo!

  • Haha 3
Link zu diesem Kommentar
falkebo Fellow

falkebo   21

Geschrieben
Geschrieben (bearbeitet)
vor 15 Minuten schrieb cj_berlin:

Das Schlimme ist, 90% der Dinge, die dort stehen werden, sind seit 20 Jahren nicht neu, und werden trotzdem nicht oder nur halbherzig angegangen. Ich hatte auf der CIM dieses Jahr ein Bildchen dazu gezeigt:

 

 

Ich würde 20 Jahre mit 5-10 Jahre ersetzen, ansonsten gebe ich dir Recht.
 

  • Angemessenes Backup Konzept samt Disaster Recovery Plan -> Halbe Miete
  • Endpoint Detection & Response Lösung (EDR / XDR) für alle Clients und Server (gerne inkl. Ransomware Schutz auf Endpoints und Fileserver)
  • Active Directory Security (Tiering Konzept, AD Hardening, PAWs, MFA für privilegierte Konten, Device Guard & Credential Guard, etc.)
  • Vernünftige Netzwerksegmentierung samt Next-Gen Perimeter Firewall
  • Angemessenes Patchmanagement (OS inkl. 3Party Software)
  • State of the Art E-Mail Content Filter

 

Wenn die obigen Punkte alle eingehalten werden, wird keiner Kopfschmerzen mit Ransomware haben.
Das ist natürlich kein fertiger Bauplan sondern lediglich ein paar Bullet Points, aber wem erzähle ich es, ihr wisst es ja eh schon.

bearbeitet von falkebo
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
Zurück zur Übersicht


×
×
  • Neu erstellen...