ATT&CKing ProLock-Ransomware

Ransomware Pro-Lock nutzt Qbot und RDP für Cyberangriffe

, München/Wien/Zürich, Vetra | Autor: Herbert Wieler

Ransomware Pro-Lock nutzt Qbot und RDP für Cyberangriffe

Vectra erläutert Vorgehen und möglichen Schutz

In den vergangenen Tagen machte die ATT&CKing ProLock-Ransomware von sich Reden. Die Angreifer setzten beim Erstzugriff auf die fremden Netzwerke auf zwei Hauptvektoren: QakBot (Qbot) und ungeschützte Remote Desktop Protocol (RDP)-Server mit schwachen Zugangsdaten.

Andreas Müller, Director DACH bei Vectra AI , einem Anbieter von IT-Security auf Basis künstlicher Intelligenz, erklärt, was Unternehmen tun können, um mit solchen Angriffen fertig zu werden und den Schaden einzudämmen:

Andreas Müller, Director DACH bei Vectra AI

„Einen Remote Desktop Protocol (RDP)-Host dem Internet auszusetzen, ist ausnahmslos eine schlechte Idee. In Deutschland, Österreich und der Schweiz beobachten wir aktuell rund 200.000 exponierte RDP-Hosts, von denen knapp 6.000 auch für die Remote-Execution-Schwachstelle EternalKeep anfällig sind. Solche exponierten RDP-Hosts und schwache Zugangsberechtigungen wurden von den Betreibern der ProLock Ransomware ins Visier genommen, um in Netzwerke einzudringen. Ransomware-Angriffe wie ProLock haben auch zu Datendiebstahl geführt, bevor die Informationen verschlüsselt wurden, um Unternehmen dazu zu bringen, das Lösegeld zu zahlen. Diese Nötigungstaktiken machen Ransomware-Angriffe noch teurer.

Ransomware ist eine heimtückische Bedrohung, die sich mit maschineller Geschwindigkeit virulent über die internen Netzwerke des Opfers ausbreitet, und es gibt keine perfekten Abwehrmechanismen. Um Informationen zu exfiltrieren, zielen Angriffe auf privilegierte Einheiten ab und nutzen diese aufgrund des ungehinderten Zugangs, den sie bieten können. Die Eskalation von einem regulären Benutzerkonto zu einem privilegierten Konto ist ein entscheidender Schritt für die Angreifer auf dem Weg zu ihrem Ziel. Privilegierte Einheiten sind nicht nur auf Konten beschränkt, sondern auch auf Hosts und Dienste innerhalb der Netzwerkumgebung.

Bei dieser Art von Hochgeschwindigkeitsangriffen ist Zeit die wertvollste Ressource des verteidigenden Sicherheitsteams. Eine frühzeitige Erkennung und Reaktion kann den Unterschied ausmachen zwischen einem eingedämmten, minimierten Vorfall oder der Situation, in der man mit massiven Geschäftsunterbrechungen und Kosten konfrontiert ist.“