Sicherheitsforscher von S-RM sensibilisieren Netzwerkadmins, über welchen Schlenker Angreifer in eigentlich geschützte Netzwerke eindringen können. In ihrem aktuellen Beispiel verschaffte sich die Ransomware Akira nach einem Fehlschlag dennoch Zugang zu Computern und verschlüsselte Daten.
Anzeige
In einem Bericht führen sie aus, wie die Angreifer dabei vorgegangen sind. Anfangs seien die Cyberkriminellen nach gewohntem Schema vorgegangen und sie haben sich über einen nach außen sichtbaren Fernzugriffsport Netzwerkzugriff verschafft.
Im Anschluss sollen sie sich über das Remote Desktop Protocol (RDP) auf einen Server ausgebreitet haben. Vor dort wollten sie ihren Erpressungstrojaner von der Leine lassen, doch die Endpoint-Detection-and-Response-Lösung (EDR) schlug zu und schickte den Schädling, bevor er ausgeführt werden konnte, in Quarantäne. Die Attacke war erfolgreich vereitelt.
Bevor die Kriminellen ihren Trojaner scharfschalten wollten, scannten sie das Netzwerk und entdeckten eine Webcam. Weil die Software des Gerätes den Forschern zufolge mehrere kritische Sicherheitslücken aufwies und es nicht durch die EDR-Software überwacht wurde, starteten sie darüber einen weiteren Angriffsversuch.
Dieser war aus den genannten Gründen erfolgreich und die Akira-Ransomware infizierte PCs. Dafür nutzten sie das Linux-System der Webcam, um den Schadcode über SMB-Datenverkehr zu verteilen.
Problematisch ist, dass solche IoT-Geräte oft Sicherheitslücken aufweisen, die teilweise nie gepatcht werden. Außerdem wird eine Webcam bei der Aufstellung von IT-Sicherheitskonzepten durchaus übersehen und kann so als Sprungbrett für Angreifer dienen.
Dementsprechend empfehlen die Sicherheitsforscher, Netzwerke in Segmente einzuteilen, sodass etwa abgeschottete Bereiche mit IoT-Geräten geschaffen werden. Überdies ist es sinnvoll, den Traffic solcher Geräte zu überwachen, um auf Unstimmigkeiten reagieren zu können. Sicherheitsupdates, wenn verfügbar, sind natürlich obligatorisch.
(
Kommentare