Ransomware über RDP-Dienst
Ransomware Bit Paymer infiziert schottische Krankenhäuser
Schwachstellen in Shadow-IT als attraktives Ziel für Angreifer
Einige Krankenhäuser des schottischen NHS (National Health Service) Lanarkshire (GB) wurden am Freitag von der Ransomware "Bit Paymer" angegriffen und infiziert, wie Forscher von Bleeping Computer berichten. Einmal Fuß gefasst, hat die Ransomware sich innerhalb der Krankenhäuser auf weitere Systeme ausgebreitet. Obwohl die Verantwortlichen den Vorgang relativ schnell bemerkt haben, dauerte die Säuberung und das Neuaufsetzen der betroffenen Systeme noch bis zum Montag. Hierbei waren so viele und kritische Systeme betroffen, dass Termine und Behandlungen abgesagt werden mussten.
Die Forscher vermuten, dass sich "Bit Paymer" über RDP (Remote Desktop Protocol) ausbreitet. Das Protokoll ist verbreitet und beliebt, wenn es um die grafische Administration von IT-Systemen geht. RDP wird bei Ransomware-Infektionen immer beliebter, da Unternehmen vermehrt moderne Virenscanner für E-Mail-Eingänge verwenden, um das klassische Einfallstor "Phishing-Mail" zu verkleinern. Hierbei wurde bei dem aktuellen Ransomware-Fall einfach ein Brute-Force-Angriff auf verfügbare RDP-Dienste durchgeführt.
Für die Angreifer werden Schwachstellen, die dem jeweiligen Unternehmen nicht bekannt sind (sog. "Shadow-IT"), immer attraktiver. Dabei sind oft noch alte Systeme im Einsatz oder sogar in Vergessenheit geraten. In der Vergangenheit hat sich gezeigt, dass hierbei offene SMB-Freigaben, vergessene Netzwerkdrucker oder – wie hier zu sehen – RDP von den Angreifern gut ausgenutzt werden können. Die Forscher von Bleeping Computer alleine haben bei zwölf weiteren Malware-Familien (namentlich RSAUtil, Xpan, Crysis, Samas (SamSam), LowLevel, DMA Locker, Apocalypse, Smrss32, Bucbi, Aura/BandarChor, ACCDFISA und Globe) den Infektionsweg über RDP ausgemacht. Die Tendenz bei der Verwendung von solchen Schwachstellen aus der Shadow-IT ist in den letzten Monaten deutlich angestiegen.
Binaries der aktuellen Ransomware "Bit Paymer" wurden bereits seit dem 21. Juni registriert. Es ist also davon auszugehen, dass bereits mehrere Unternehmen und Institutionen in den letzten Wochen Ziel des Angriffs wurden. Dabei scheinen die Ersteller von "Bit Paymer" sich nur gezielt auf größere Unternehmen zu fokussieren, um so länger unter dem Radar bleiben zu können. Insgesamt werden immer mehr Ransomware-Familien registriert. Die Ransomware-Identifikationsseite "ID Ransomware" listet aktuell über 472 Stück auf. Dabei kann jede Ransomware noch jeweils etliche unterschiedliche Binaries und Verschlüsselungsvarianten aufweisen, vor denen geschützt werden muss.
Empfehlung
Zur Infizierung mit der Ransomware "Bit Paymer" wurden nach Angaben der Forscher per Brute-Force wieder allgemeine Schwachstellen ausgenutzt, wie zu schwache Passwörter und vom Internet aus erreichbare RDP-Dienste. Die Malware selbst wurde offenbar gegenüber gängigen Schutzsystemen wie Virenscannern solange optimiert, bis diese vorerst nicht erkannt werden.
Schutz vor solcher Ransomware bieten hierbei vor allem aktuelle Backups sowie die Minimierung der Angriffsfläche und die Stärkung der Resistenz der eigenen IT-Systeme. So sollten die Zugriffe aus dem Internet per RDP auf interne Systeme nicht ohne guten Grund erfolgen und prinzipiell verboten sein. Falls diese doch notwendig sind, sollte dies nur auf Systemen erfolgen, in denen permanent Sicherheitspatches eingespielt werden. Darüber hinaus sollte zudem ein modernes Monitoring-System den Netzwerkverkehr kontinuierlich nach Schwachstellen und ungewollten Verbindungen untersuchen.
Erkennung mit der Advanced Security Analytics Platform von finally safe
Anwender können mit der Lösung überprüfen, ob es Zugriffe auf ihre Systeme mittels des RDP-Protokolls gibt oder in der Vergangenheit gab oder ob Sie Ziel einer Spam-/Phishing-Welle sind oder jüngst waren. Diese Informationen sind abhängig von den eingesetzten Modulen zu finden:
- Im Echtzeit-Monitoring können Sie live, bei möglichen Brute-Force-Angriffen auf Ihre Systeme, gewarnt werden
- Falls Sie den Management-Report abonniert haben, haben wir bereits mögliche Zugriffe Ihrer IT-Systeme über das RDP-Protokoll analysiert und aufgelistet.
- Falls Sie den ATD-Sensor aktiviert haben, können Sie im Webportal gezielt die RDP-Zugriffe (portunabhängig) finden und dabei direkt die betroffenen IP-Adressen Ihrer RDP-Server oder -Clients ermitteln. Darüber hinaus können Sie in den Details nachschauen, welche Benutzer-Accounts konkret Ziel der Login-Versuche wurden.
- Im Expertensystem können Sie sich unter Zuhilfenahme der bekannten RDP-Ports die Hinweise anzeigen lassen, ob Sie solchen Netzwerkverkehr haben.