Weckruf für eine bessere Absicherung externer Angriffsflächen

Eine der größten jemals beobachteten Brute-Force-Attacken richtet sich aktuell gegen VPN-Geräte und nutzt dabei ein Netzwerk aus über 2,8 Millionen kompromittierten IP-Adressen. Ziel dieser Attacke ist es, durch automatisiertes Credential-Stuffing und Brute-Force-Angriffe Zugriff auf Unternehmensnetzwerke zu erhalten. [...]

Eine der größten jemals beobachteten Brute-Force-Attacken richtet sich aktuell gegen VPN-Geräte und nutzt dabei ein Netzwerk aus über 2,8 Millionen kompromittierten IP-Adressen. Ziel dieser Attacke ist es, durch automatisiertes Credential-Stuffing und Brute-Force-Angriffe Zugriff auf Unternehmensnetzwerke zu erhalten. Besonders betroffen sind Systeme mit Standard- oder schwachen Passwörtern sowie veralteter Software. Hier hilft nur eine klare Sicherheitsstrategie, kombiniert mit einer kontinuierlichen Analyse und Überwachung der externen Angriffsfläche eines Unternehmens.

Um solchen Bedrohungen effektiv zu begegnen, spielt External Attack Surface Management (EASM) eine Schlüsselrolle. Eine Analyse von Outpost24 in der DACH-Region hat gezeigt, dass über 20 Prozent der mehr als 20.000 analysierten exponierten IT-Assets kritische, sehr hohe oder hohe Risiken aufweisen. Besonders betroffen sind der Gesundheitssektor und die Pharmaindustrie. Solche Zahlen zeigen, dass die Angriffsfläche für Unternehmen ständig wächst und es zunehmend schwerer wird, alle Schwachstellen im Blick zu behalten – auch in Branchen, die mit sehr sensiblen Daten arbeiten.

Gefährdete Systeme frühzeitig erkennen

Laut Borja Rodriguez, Manager of Threat Intelligence Operations bei Outpost24, deutet auch die jüngste Attacke auf eine Mirai-Variante hin: „Mirai und seine Abspaltungen sind bekannt dafür, IoT-Geräte durch bekannte Schwachstellen und Standardpasswörter zu kompromittieren. Die aktuell betroffenen Geräte – darunter MikroTik-, Huawei-, Cisco-, Boa- und ZTE-Router – werden dann Teil eines Botnets und für weitere Credential Stuffing, Brute-Force-Angriffe und DDoS-Attacken genutzt.“ Diese Entwicklung verdeutlicht, wie wichtig es ist, gefährdete Systeme frühzeitig zu erkennen und kontinuierlich zu überwachen, bevor sie kompromittiert werden.

Wie Martin Jartelius, Chief Information Security Officer bei Outpost24, erklärt, setzen Angreifer bei dieser Art von Angriffen auf eine hohe Verteilung der angreifenden IP-Adressen, um zu vermeiden, dass einzelne IP-Adressen blockiert werden. Stattdessen greifen sie von verschiedenen Geräten gleichzeitig auf Systeme zu. Dies zeigt, dass klassische Schutzmaßnahmen wie das Sperren einzelner IP-Adressen nicht ausreichen. Unternehmen müssen hier weiterdenken: Eine kontinuierliche Überwachung und Analyse ihrer Angriffsfläche ist essenziell, um unbekannte Schwachstellen zu entdecken, bevor diese von Angreifern ausgenutzt werden können.

Brute-Force-Angriffe: ein Geduldsspiel mit Folgen

Darren James, Senior Product Manager bei Outpost24, betont, dass Brute-Force-Angriffe zwar oft wenig ausgefeilt sind, die aktuelle Angriffswelle jedoch eine gut organisierte und zielgerichtete Kampagne darstellt. Ein Netzwerk aus 2,8 Millionen kompromittierten Geräten ermöglicht es den Angreifern, binnen kürzester Zeit enorme Mengen an Passwortkombinationen zu testen. Dabei ist der Angriff nicht auf das schnelle Eindringen in ein einzelnes System ausgerichtet, sondern auf das Ermitteln zahlreicher gültiger Benutzernamen-Passwort-Paare, die später für weitere Angriffe genutzt oder verkauft werden.

Die Erfahrungen aus der Analyse von Outpost24 bestätigen, dass kompromittierte Zugangsdaten eine der größten Bedrohungen für Unternehmen darstellen. Besonders besorgniserregend ist die hohe Anzahl gestohlener Zugangsdaten im Gesundheits- und Finanzsektor. Hier müssen Unternehmen verstärkt auf Passworthygiene achten, MFA (Multi-Faktor-Authentifizierung) einführen und sicherstellen, dass Admin-Interfaces nicht nach außen offen zugänglich sind.

Ein umfassender Schutz erfordert eine kontinuierliche Überwachung der Angriffsfläche sowie regelmäßige Analysen. Mithilfe von External Attack Surface Management Tools können Unternehmen den ersten Schritt tätigen, um versteckte Schwachstellen zu identifizieren und ihre Cybersicherheitslage stetig zu verbessern.

* Stephan Halbmeier ist Product Specialist bei Outpost24.