MSPs sind das neue Ziel für Ransomware: Sind Sie auf der sicheren Seite?

AUGUST 6TH, 2020
Übersetzung eines auf Englisch verfassten Artikels für die Recovery Zone. Den Originalartikel finden Sie hier.Ransomware ist sehr kostspielig. Nicht nur, was die Lösegeldzahlung selbst, sondern vor allem, was die Ausfallzeiten angeht, deren Kosten in der Regel 23 Mal höher sind als das geforderte Lösegeld. Die Angriffe betreffen immer größere Organisationen, wie z. B. die Städte Baltimore und Atlanta. Die Cyberkriminellen greifen nicht mehr nur die Endbenutzer an. Neuerdings trifft es auch MSPs. Mehrere MSPs haben berichtet, dass sie im Juni gezielten Ransomware-Angriffen ausgesetzt waren. Die Angreifer nutzen die Schwachstellen in Systemen, die häufig von MSPs genutzt werden, um Ransomware auf vielen Netzwerken und Geräten zu installieren. Sie fragen sich vielleicht, wie es den Cyberkriminellen gelingt, die MSPs anzugreifen und was Sie tun können, um sie davon abzuhalten. Zunächst einmal werden wir untersuchen, warum MSP überhaupt zur Zielgruppe werden.Warum sind MSPs jetzt eine Zielgruppe?Wenn es um Ransomware geht, dann ist das Ziel häufig, die Ransomware auf so vielen Geräten wie möglich zu installieren. Das erhöht die Chance, das die Opfer das Lösegeld auch zahlen. Wer aber hat Zugang zu vielen Netzwerken und Geräten? Richtig: die MSPs! Und in vielen Fällen sind die MSPs selbst kein Ziel, sondern einfach eine Möglichkeit, viele andere Ziele zu erreichen. Wenn Gauner Zugang zu den Systemen eines MSPs erhalten, können sie aus der Ferne Ransomware in vielen Netzwerken und Geräten installieren. Da Ransomware nach der Installation oft nicht mehr zu löschen ist (mit Ausnahme einiger Optionen, die wir später besprechen werden), haben viele Unternehmen das Gefühl, dass sie keine andere Wahl haben, als zu bezahlen.  Coveware schätzt, dass Cyberkriminelle im Durchschnitt 12.762 USD von einem Unternehmen eintreiben können, das sich entschieden hat, zu zahlen. Stellen Sie sich einmal vor, wie sehr diese Zahl ansteigt, wenn sie gleich auf Dutzende von Unternehmen zugreifen können.Wie machen die das?Cyberkriminelle haben damit begonnen, Produkte und Dienstleistungen anzugreifen, die häufig von MSPs verwendet werden. Viele der Angriffe haben sich über RMM-Tools (Remote Monitoring and Management) oder Cybersicherheits-Konsolen eingewählt. Secplicity geht davon aus, dass die Angreifer den Zugriff entweder mit brachialen Methoden oder durch Schwachstellen in der Software auf nicht gepatchten Servern erhalten. Von dort aus versuchen die Angreifer, so viele privilegierte Zugangsdaten wie möglich zu sammeln. Danach werden sie diese verwenden, um auf RMM-Tools zuzugreifen, damit sie Ransomware aus der Ferne installieren können, wie beispielsweise den berüchtigte Ransomware-Virus Sodinokibi. Und am Ende müssen sie sich nur zurücklehnen und darauf warten, wer sich dafür entscheidet, das Lösegeld zu zahlen.Was können Sie tun?Es gibt nicht wirklich etwas, was man tun kann, um Cyberangriffen vorzubeugen, vor allem deshalb nicht, weil sie immer ausgefeilter werden. Die MSPs müssen eine Vielzahl von Taktiken einsetzen, um diese Angriffe abzuwehren.Mehrstufige Authentifizierung (MFA): Viele Anwendungen unterstützen inzwischen die mehrstufige Authentifizierung. Die mehrstufige Authentifizierung kann verhindern, dass Cyberkriminelle einen privilegierten Zugang zu Ihrem Netzwerk oder dem Ihrer Kunden erhalten. Beginnen Sie damit, diese Art der Authentifizierung für kritische Anwendungen anzufordern, die diese unterstützen. Sie können auch ein MFA-Tool wie OneLoginDuo oder Okta nutzen, um sicherzustellen, dass alle Anwendungen, die Ihre Kunden nutzen, diese zusätzliche, aber notwendige Sicherheitsstufe nutzen.Aktualisierung ist das Gebot der Stunde: Viele Angriffe zielen auf Schwachstellen in der Software ab. Der beste Weg, um sich gegen Ransomware zu schützen, ist immer noch der, die Software regelmäßig zu aktualisieren und notwendige Patches zu installieren. Das gilt für Ihre RMM-Tools über Remote-Server bis hin zu Client-Desktops und mobilen Geräten: je aktueller, desto besser. Bleiben Sie besonders vorsichtig, wenn es um die Aktualisierung von RMM- oder anderen Tools für den Fernzugriff geht, da die Cyberkriminellen sich in der letzten Zeit besonders darauf konzentriert haben. Legen Sie regelmäßige Backups an: Sicher ist, dass Backups die wahrscheinlich einzige Möglichkeit sind, Ihre Daten wiederherzustellen, wenn Ihr System von Ransomware betroffen ist. Ein solides, Image-basiertes Backup bietet eine einfache Möglichkeit, die Systeme wiederherzustellen. Allerdings gibt es dabei einige Faktoren, die Sie unbedingt beachten sollten. Sie müssen sicherstellen, dass Sie die richtige Aufbewahrungsrichtlinie für Backups festgelegt haben. Falls Sie kein Backup-Image erstellt haben, bevor die Ransomware installiert wurde, dann haben Sie Pech. Achten Sie darauf, dass Sie für jedes von Ihnen betreute System mehrere Backups von verschiedenen Zeitpunkten aufbewahren. Überlegen Sie dann genau, wo Sie Ihre Backups sichern. Was passiert, wenn Ransomware das Netzlaufwerk, auf dem die Backups gespeichert sind, blockiert? Bedenken Sie also in Ruhe, wo Sie Ihre Backups speichern. Beziehen Sie auch Optionen außerhalb Ihres Büros mit ein und achten Sie darauf, dass Sie Kopien der Backups an einem sicheren Ort verwahren.FazitMSPs sind ein wichtigeres Ziel als viele andere. Die Anmeldeinformationen, die Sie für den Zugriff auf Ihre RMM- und PSA-Tools verwenden, könnten einem Angreifer die Möglichkeit eröffnen, auf Dutzende von Client-Netzwerken und Hunderte von Geräten zuzugreifen. MSPs sollten genau darauf achten, wie sie Anmeldeinformationen verwalten, wer Berechtigungen erhält und wie häufig sie ihre Lösungen aktualisieren. Und nicht zuletzt ist ein sauberes Backup-Image oft der einzige Weg, um zu garantieren, dass Ihre Daten nach einem Ransomware-Angriff zuverlässig wiederhergestellt werden können. Erstellen Sie sorgfältige Backup-Strategien, damit Sie die Risiken, die von komplexeren Cyberangriffen ausgehen, so weit wie möglich minimieren können. Möchten Sie für immer vor Ransomware-Angriffen sicher sein? Dann denken Sie über eine ausgefeilte DR-Lösung nach.