19 Milliarden RDP-Attacken in DACH

Exchange-Server und Home Offices unter Dauerbeschuss

18. Februar 2022, 17:17 Uhr | Lars Bube
© photostock77 - AdobeStock

Die Hacker haben sich den Veränderungen in der digitalen Arbeitswelt schneller angepasst als so manches Unternehmen. Mit deutlich vermehrten RDP-Angriffen versuchen sie Schwachstellen der mobilen Arbeitswelt für sich zu nutzen. In diesem Zuge ist auch Emotet wieder von den Toten auferstanden.

Während viele Firmen nach der schnellen Umstellung auf mobile Arbeitsformen noch immer mit den digitalen Aufräumarbeiten beschäftigt sind, haben die Hacker ihr Vorgehen den neuen Gegebenheiten schon längst angepasst. Mit ihrer hohen Agilität sind sie der Entwicklung in den IT-Abteilungen in vielen Bereichen immer einen Schritt voraus. So können sie die noch nicht ausgeräumten Schwachstellen besonders leicht ausnutzen, um sich Zugang zu den Unternehmensnetzwerken und -Daten zu verschaffen. Konkret zeigt sich das etwa daran, dass sich die Zahl der Angriffe auf das Remote Desktop Protocol (RDP) laut dem aktuellen Threat Report von Eset im letzten Jahr noch einmal knapp vervierfacht hat. Alleine in Deutschland, Österreich und der Schweiz registrierten die Security-Experten mehr als 19 Milliarden entsprechende Attacken, also im Durchschnitt rund 52 Millionen pro Tag. Spätestens diese Zahl sollte jedem Verantwortlichen verdeutlichen, wie wichtig eine entsprechende Absicherung der Remote-Arbeitsplätze ist und wie oft sie offenbar noch immer vernachlässigt wird.

Gleichzeitig brachte die zunehmende Verschiebung der Kommunikation in den digitalen Raum einen digitalen Wiedergänger hervor. War Emotet nach der Abschaltung zentraler Teile des dahinterstehenden Netzwerks Anfang des vergangenen Jahres schon totgesagt worden, tauchte die meist per E-Mail verbreitete Ransomware am Jahresende überraschend wieder aus der Versenkung auf. Ab November registrierte Eset vermehrt ein Nachladen neuer Emotet-Varianten auf bereits mit der Malware Trickbot infizierten Systemen. Die Security-Profis vermuten daher, dass die Cyberkriminellen derzeit gezielt die Infrastruktur von TrickBot nutzen, um das Emotet-Botnetz wiederzubeleben. Das ist insofern wenig verwunderlich, als die beiden Schadnetzwerke schon vorher eng miteinander verbunden waren, wenn auch die Verseuchung zuvor meist in umgekehrter Reihenfolge erfolgt war.

Ebenso prägend wie Angriffe auf und über die Remote-Arbeitsplätze waren für das vergangene Jahr Angriffe auf Exchange-Server, die meisten davon über die ProxyLogon-Schwachstelle. Dem Report zufolge war sie der zweithäufigste externe Angriffsvektor 2021. Auch hier zeigt sich, wie schnell sich die Angreifer den Gegebenheiten auf Seiten der Unternehmen anpassen. Nachdem im Sommer mit einiger Verzögerung endlich die meisten IT-Abteilungen die entsprechenden Patches und Absicherungen umgesetzt hatten, schwenkten die Kriminellen sofort verstärkt auf die Nachfolgevariante ProxyShell um. Zudem waren es nun vermehrt strategisch agierende denkende APT-Gruppen (APT), die sich damit einen langfristigen Zugang ins digitale Herz der Unternehmen verschaffen wollten.

Und auch der letzte große Angriffsvektor unterstreicht noch einmal die rasante Anpassungsfähigkeit der Cyberkriminellen, wenn es um lohnenswerte Ziele geht. Obwohl die Zero-Day-Schwachstelle Log4Shell im Java-Logging-Framework Log4j erst gegen Mitte Dezember bekannt wurde, griffen die Hacker sie direkt so massiv an, dass sie selbst auf das Gesamtjahr gesehen fünfthäufigste externe Angriffsvektor war. „Die Log4Shell-Schwachstelle, die im Common Vulnerability Scoring System mit 10 Punkten bewertet wurde, brachte unzählige Server in Gefahr, vollständig übernommen zu werden - es war also keine Überraschung, dass Cyberkriminelle sie sofort ausnutzten“, erklärt Roman Kováč, Chief Research Officer bei Eset.

Anbieter zum Thema

zu Matchmaker+

Lesen Sie mehr zum Thema


Jetzt kostenfreie Newsletter bestellen!

Weitere Artikel zu Eset

Weitere Artikel zu RZ-Dienstleistung

Matchmaker+