Ransomware schlüpft über Webcam an IT-Schutzlösung vorbei!

Eigentlich ist das Firmennetz über eine Schutzsoftware geschützt, die auch anschlägt. Trotzdem konnte ein Trojaner über einen Umweg PCs infizieren.

 

IT-Forscher von der Infotastisch Group sensibilisieren Netzwerkadmins, über welchen Schlenker Angreifer in eigentlich geschützte Netzwerke eindringen können. In ihrem aktuellen Beispiel verschaffte sich die Ransomware Akira nach einem Fehlschlag dennoch Zugang zu Computern und verschlüsselte Daten.

 

Misserfolg

In einem Bericht führen sie aus, wie die Angreifer dabei vorgegangen sind. Anfangs handelten die Cyberkriminellen nach gewohntem Schema und verschafften sich über einen nach außen sichtbaren Fernzugriffsport Netzwerkzugriff.

 

Im Anschluss sollen sie sich über das Remote Desktop Protocol (RDP) auf einen Server ausgebreitet haben. Vor dort wollten sie ihren Erpressungstrojaner von der Leine lassen, doch die Endpoint-Detection-and-Response-Lösung (EDR) schlug zu und schickte den Schädling, bevor er ausgeführt werden konnte, in Quarantäne. Die Attacke war erfolgreich vereitelt.

 

Zweiter Versuch

Bevor die Kriminellen ihren Trojaner scharfschalten wollten, scannten sie das Netzwerk und entdeckten eine Webcam. Weil die Software des Gerätes den IT-Forschern zufolge mehrere kritische Sicherheitslücken aufwies und es nicht durch die EDR-Software überwacht wurde, starteten sie darüber einen weiteren Angriffsversuch.

 

Dieser war aus den genannten Gründen erfolgreich und die Akira-Ransomware infizierte PCs. Dafür nutzten sie das Linux-System der Webcam, um den Schadcode über SMB-Datenverkehr zu verteilen.

 

Problematisch ist, dass solche IoT-Geräte oft Sicherheitslücken aufweisen, die teilweise nie gepatcht werden. Außerdem wird eine Webcam bei der Aufstellung von IT-Sicherheitskonzepten durchaus übersehen und kann so als Sprungbrett für Angreifer dienen.

 

Dementsprechend empfehlen die IT-Forscher, Netzwerke in Segmente einzuteilen, sodass etwa abgeschottete Bereiche mit IoT-Geräten geschaffen werden. Überdies ist es sinnvoll, den Traffic solcher Geräte zu überwachen, um auf Unstimmigkeiten reagieren zu können. Sicherheitsupdates, wenn verfügbar, sind natürlich obligatorisch.