Sophos hat seine knapp vier Monate dauernde Studie "RDP Exposed: The Threat That?s Already at your Door" abgeschlossen und die Langzeitergebnisse veröffentlicht. Sie zeige, wie Cyberkriminelle unerbittlich versuchen, Unternehmen via Remote Desktop Protocol (RDP) anzugreifen, so die Sicherheitsexperten.
RDP ist demnach noch immer ein valider Grund für schlaflose Nächte von Systemadministratoren: Im vergangenen Jahr haben sich Cyberkriminelle - neben den zwei großen Ransomware-Angriffen Matrix und SamSam - fast vollständig auf Netzwerkzugriffe mit RDP konzentriert und andere Methoden weitgehend aufgegeben.
Matt Boddy, Security-Spezialist bei Sophos und Leiter der Studie erklärt: "In jüngster Zeit hat ein Fehler bei der Ausführung des Remote-Codes im RDP - genannt BlueKeep (CVE-2019-0708) - für Schlagzeilen gesorgt. Dies ist eine so schwerwiegende Schwachstelle, dass sie dazu dienen kann, eine Ransomware-Welle auszulösen, die sich innerhalb von Stunden weltweit ausbreiten könnte. Die Absicherung gegen RDP-Bedrohungen geht weit über das Patchen von Systemen gegen BlueKeep hinaus, denn dies ist nur die Spitze des Eisbergs. Zudem müssen IT-Manager dem RDP deutlich mehr Aufmerksamkeit schenken. Denn wie unsere Studie zeigt, attackieren Cyberkriminelle alle potenziell gefährdeten Computer mit RDP indem sie versuchen die Passwörter herauszufinden."
Die RDP-Studie von Sophos zeige auch, wie Angreifer RDP-fähige Geräte bereits kurz nach dem Erscheinen im Internet finden. Als Demonstration setzte Sophos zehn geografisch verteilte Honeypots ein, um RDP-basierende Risiken zu messen und zu quantifizieren.
Sophos hat auf der Grundlage der Studie unterschiedliche Angriffsmuster identifiziert. Dazu gehören drei Hauptprofile: der Widder, der Schwarm und der Igel:
Boddy erklärt, was der Umfang dieser RDP-Gefahr für Unternehmen bedeutet: "Derzeit gibt es weltweit mehr als drei Millionen Geräte, die über RDP zugänglich sind, und es ist heute ein bevorzugter Einstiegspunkt für Cyberkriminelle. Sophos hat darüber berichtet, wie Kriminelle gezielt Ransomware wie BitPaymer, Ryuk, Matrix und SamSam einsetzen und fast vollständig auf andere Methoden verzichtet haben, um in ein Unternehmen einzudringen. Alle Honeypots wurden innerhalb weniger Stunden entdeckt, nur weil sie per RDP im Internet sichtbar waren. Der grundlegende Lösungsansatz besteht darin, den Einsatz von RDP so weit wie möglich zu reduzieren und sicherzustellen, dass starke Passwörter im Unternehmen zum Einsatz kommen. Unternehmen müssen handeln und die passende Security zum Schutz vor den unerbittlichen Angreifern nutzen."
Eine Kopie der Studie steht zum Download bereit unter www.sophos.com/RDP.