Remote Access VPNs rücken ins Visier von Ransomware-Angriffen

Sodinokibi-Ransomware nutzt VPN-Verbindung als Schwachstelle für die Attacke auf Travelex

SAN JOSE, 15. Januar 2020 – Die Security-Analysten des Zscaler-ThreatlabZ-Teams analysieren die Vorgehensweise des jüngsten Sodinokibi-Ransomware-Angriffs auf Travelex, der das Remote Access VPN-System als Einfallstor verwendete. Aufgrund eines ungepatchten VPN-Servers gelang es den Angreifern, das IT-System der englischen Devisengesellschaft bereits am Neujahrsabend stillzulegen. Da zunehmend Angriffe über VPNs erfolgen, wirft das Zscaler-Team einen Blick auf die Vorgehensweise.

Remote Access VPNs sind bereits seit 30 Jahren auf dem Markt, als der Fernzugriff von außerhalb des Firmennetzwerks in Mode kam. Zu dieser Zeit wurden die Firmenapplikationen im Rechenzentrum vorgehalten, das am Perimeter mit einem Stapel an Sicherheits-Appliances gesichert wurde. Durch die Cloudifizierung werden die Anwendungen heute zunehmend in die Wolke verlagert und gleichzeitig wächst das Gefahrenpotenzial durch Internet-basierte Angriffe, die laut Gartner mittlerweile 98 Prozent ausmachen. Durch Remote Access VPNs werden Server dem Internet ausgesetzt und die Anwender erhalten über einen statischen Tunnel Zugang zum Firmennetz. Diese Tunnel schlagen allerdings auch Löcher in die Firewall, so dass die gleiche Technologie, die ein Unternehmen schützen soll, dieses auch anfällig für moderne Angriffe macht.

Die Angreifer gehen dabei wie folgt vor: Sie durchsuchen das Internet nach ungepatchen Remote Access VPN-Servern und verschaffen sich ohne Kennwort und Benutzername Zutritt. Einmal im System durchsuchen die Angreifer Logs nach Passwörtern in Klartext und gelangen auf diese Weise an Administrator-Zugang im Netzwerk. Durch laterale Bewegung im Netz wird der Angriff auf die gesamte IT-Infrastruktur eines Unternehmens ausgedehnt und dabei Multifaktor-Authentifizierung und andere Sicherheitsvorkehrungen abgeschaltet. So wird es schließlich möglich Ransomware in das Unternehmensnetz einzuschleusen und damit Dateien zu verschlüsseln als Basis für die Erpressung eines Unternehmens.

Dieses Einfallstor spielt ihr Gefahrenpotenzial aus durch den Umgang mit Remote Access VPN Systemen. Eine Rolle spielen dabei folgende Faktoren:

  • Das Patchen der VPN-Systeme wird vergessen oder aufgrund von Ressourcenmangel zu langsam umgesetzt, wodurch sich Angreifern Schwachstellen auftun.
  • Anwender werden in das gesamte Netzwerk platziert und darin besteht die gesamte Genese des Angriffspotenzials. Da VPNs im Internet auffindbar sein müssen, tut sich damit ein Angriffsvektor auf.
  • Laterale Bewegungen im Netzwerk erlaubt die Ausbreitung von Malware, die auch trotz Netzwerksegmentierung (die aufgrund der Komplexität nicht überall eingesetzt wird) möglich ist.

Die negativen Folgen von RAS-VPNs haben alternative Lösungsansätze auf den Plan gebracht. Gartner geht davon aus, dass 60 Prozent der Unternehmen bis 2023 die meisten ihrer Remote Access VPNs auslaufen lassen werden und dafür auf Zero Trust Network Access (ZTNA) setzen. Mit Hilfe von ZTNA wird der Zugriff auf Ebene einer einzelnen Anwendung ermöglicht, ohne den Zugriff auf das gesamte Firmennetz zu öffnen. Da die Infrastruktur nicht mehr dem Internet ausgesetzt wird, werden Anwendungen im Internet unsichtbar und damit nicht angreifbar. Nicht zuletzt erhalten Remote Mitarbeiter durch einen ZTNA-Service schnellen und reibungslosen Zugriff auf ihre Anwendung, unabhängig mit welchem Gerät oder von welchem Standort aus sie darauf zugreifen.

Weitere Informationen zum Angriff und den Erkenntnissen der Sicherheits-Experten lesen Sie im Zscaler-ThreatLabZ-Blog.

Über Zscaler

Zscaler (NASDAQ: ZS) unterstützt Organisationen weltweit bei der sicheren Transformation ihrer Netzwerke und Applikationen in eine moderne Arbeitsumgebung, in der Mobilität und die Cloud an erster Stelle stehen. Mit Hilfe der Services Zscaler Internet AccessTM und Zscaler Private AccessTM werden schnelle und sichere Verbindungen zwischen Anwendern und ihren Applikationen hergestellt, unabhängig vom Gerät, Standort oder Netzwerk. Die Zscaler Dienste basieren zu 100% auf der Cloud und bieten höhere Sicherheit und einfache Benutzerführung für den Anwender und damit Vorteile gegenüber traditionellen Appliances. Zscaler betreibt eine multimandantenfähige Cloud Security Plattform, die in mehr als 185 Ländern weltweit tausende Kunden vor Cyberangriffen und Datenverlust schützt. Erfahren Sie mehr unter zscaler.com oder folgen Sie uns auf Twitter @zscaler.

Zscaler™, Zscaler Internet Access™, und Zscaler Private Access™ sind entweder (i) registrierte Warenzeichen oder Dienstleistungszeichen (ii) oder Waren- und Servicezeichen von Zscaler, Inc. in den Vereinigten Staaten und/oder weiteren Ländern. Andere Warenzeichen sind Besitz der entsprechenden Eigentümer.