Ransomware Sodinokibi – Angriffe auf MSPs
In den letzten Wochen gab es vermehrt Angriffe auf die MSP-Branche (Managed Services Provider), bei denen Ransomware in deren Infrastruktur und Kundenbasis installiert wurde. Dabei wurden speziell Produkte und Dienste angegriffen, die von MSPs verwendet werden wie bspw. Remote Monitoring Management (RMM), Professional Services Automation (PSA) und Remote Desktop Protocol (RDP) und weitere.
Corey Nachreiner, CTO von WatchGuard, hat eine detaillierte Analyse dieser Bedrohung verfasst und mögliche Abwehrmechanismen beschrieben. Außerdem hat das Threat Research Team von WatchGuard eine ausführliche FAQ (.pdf) zu diesem Thema erstellt. Darin werden alle wichtigen Fragen über diesen Angriff beantwortet.
Der Angriff kann auf verschiedene Wege eingeleitet werden, bspw. durch Spear-Phishing-E-Mails, Netzwerksoftware-Exploits oder Sicherheitslücken in Webanwendungen. Unabhängig davon, ist das primäre Ziel des Angriffs so viele Benutzeranmeldeinformationen wie möglich des MSP zu sammeln, um Zugriff auf deren Verwaltungstools zu erhalten.
Wie können Sie sich für solchen Angriffen schützen?
Um sich vor solchen Angriffen zu schützen bedarf es einer ganzheitlichen Strategie der Netzwerksicherheit:
- nutzen Sie Multifaktor-Authentifizierung (MFA): Wenn Sie eine MFA-Lösung bereitstellen, ist ein gestohlenes Kennwort ohne die zusätzlichen Authentifizierungsfaktoren wertlos und somit der beste Schutz vor diesem Angriff. Die meisten MSP-Tools bieten MFA-Integrationsfunktionen. WatchGuard bietet mit AuthPoint eine entsprechende Lösung, die alles von Ihrer Windows-Anmeldung bis zu Ihren MSP-Tools neben dem üblichen Passwort mit einem zusätzlichen Faktor schützt.
- machen Sie regelmäßige Backups: mit einem guten und vollständigen Backup können Sie einen Ransomware-Vorfall beheben. Wir empfehlen neben Online-Backups auch Offline-Backups.
- halten Sie Ihre Software immer gepatcht und auf dem neuesten Stand
- beschränken Sie den Zugriff auf alle Remoteverwaltungsdienste: mit VPN können Sie eine zusätzliche Sicherheits- und Authentifiizerungsebene hinzufügen
Wie kann die WatchGuard Total Security Suite vor solchen Angriffen schützen?
WatchGuards Anti-Malware-Dienste Gateway Antivirus (GAV), IntelligentAV und APT Blocker erkennen alle die Sodinokibi-Malware. Zudem erkennt der Gateway Antivirus beide Phasen des verwendeten Powershell-Skripts. Außerdem können mit einer WatchGuard Firebox entsprechende VPN-Richtlinien erstellt werden, die den Zugriff auf RDP einschränken und so möglicherweise den ersten Angriff verhindern können. Insgesamt bietet WatchGuard viele Sicherheitsdienste an, die im Zusammenspiel gezielte Angriffe wie diese verhindern können. Ordnungsgemäß implementiert und richtig konfiguriert bieten die vielen Sicherheitsschichten und -dienste von WatchGuard eine ganzheitliche Netzwerksicherheit.
Das könnte Sie auch interessieren: