Header Navigation - DE
Background image for Wie lassen sich RDP-Angriffe (Remote Desktop Protocol) verhindern?
Cybersecurity 101/Intelligente Bedrohung/So verhindern Sie Angriffe auf das Remote Desktop Protocol (RDP)

Wie lassen sich RDP-Angriffe (Remote Desktop Protocol) verhindern?

Cyberkriminelle nutzen Schwachstellen im Remote Desktop Protocol (RDP) aus. Sie sammeln Informationen und kompromittieren Geräte. Erfahren Sie, wie Sie RDP-Angriffe wirksam verhindern können.

Autor: SentinelOne

RDP basiert auf den Standards der T-120-Protokollfamilie und gewann erstmals an Bedeutung, als Microsoft es Benutzern ermöglichte, sich über Netzwerke mit anderen Computern zu verbinden und diese fernzusteuern. Es sichert die Netzwerkkommunikation und ermöglicht es Benutzern, Desktops aus der Ferne zu bedienen.

Allerdings ist RDP nicht ohne Risiken. Es kann ausgenutzt werden, um sich unbefugten Zugriff auf Geräte zu verschaffen. Seit seiner Einführung gab es 16 größere Windows-Versionen, was bedeutet, dass Angreifer zahlreiche Gelegenheiten hatten, es zu kapern und sich Fernzugriff auf Windows-Server und -Geräte zu verschaffen. In diesem Leitfaden erfahren Sie, wie Sie RDP-Angriffe verhindern und sich schützen können.

So verhindern Sie RDP-Angriffe – Ausgewähltes Bild | SentinelOne

Was ist ein RDP-Angriff (Remote Desktop Protocol)?

RDP ist ein von Microsoft entwickeltes Kommunikationsverbindungsprotokoll, mit dem Benutzer Desktop-Geräte (oder jedes Gerät mit Microsoft-Betriebssystem) fernsteuern können. Remote-Desktop-Verbindungen verwenden den TCP-Port (Transmission Control Protocol) 3389, der die zentrale Drehscheibe für Remote-Verbindungen ist. Wenn Angreifer die verschlüsselten Kanäle kompromittieren und übernehmen, spricht man von einem Remote Desktop Protocol-Angriff.

Hier eine kurze Übersicht über die Funktionsweise von RDP-Angriffen:

  • Angreifer beginnen zunächst damit, Ihren RDP-Port zu scannen. Wenn aktive Geräte damit verbunden sind, dienen diese als Einstiegspunkt in Ihr Netzwerk. Der Angreifer kann sich über diesen Port mit Brute-Force-Methoden Zugang zum Netzwerk verschaffen und die große Anzahl von RDP-Verbindungen ausnutzen.
  • Nachdem der erste Angriff erfolgreich war, scannt der Angreifer das gesamte Netzwerk mit Subnetzen und eskaliert seine Penetration. Er könnte die Windows Management Instrumentation™-Verbindungen für mehrere Endpunkte in verteilten Computerumgebungen oder Remote Procedure Calls nutzen und eine Vielzahl von Angriffen auslösen.
  • Wenn ein Gerät kompromittiert ist, übernimmt der Angreifer die Kontrolle. Über die Befehls- und Kontrollschnittstelle sendet er Befehle an andere Endpunkte und Netzwerke in der Infrastruktur. Er kann den kompromittierten Rechner nutzen, um neue RDP-Verbindungen zu nicht standardmäßigen Ports herzustellen.
  • Wenn ein Angreifer dieses Stadium erreicht hat, kann er sich lateral in Netzwerke bewegen und tiefer in Ihr Unternehmen eindringen. Er kann sich Zugriff auf erweiterte Berechtigungen verschaffen, sensible Daten abrufen und die Kontrolle über hochwertige Ressourcen übernehmen. An diesem Punkt angelangt, kann er auch der Erkennung durch die neuesten Sicherheitsmaßnahmen des Unternehmens entgehen.

Wie nutzen Cyberkriminelle RDP aus?

RDP-Angriffe zielen speziell auf verteilte Belegschaften und externe Auftragnehmer ab. Die Übernahme computerintensiver Ressourcen ist sehr wertvoll, und RDP kann einen besseren Einblick in den Zugriff auf Windows-Server und -Sitzungen gewähren.

Das traditionelle RDP verfügte nicht über die Sicherheits- und Datenschutzmaßnahmen, wie wir sie heute kennen. Für die Benutzerauthentifizierung waren lediglich ein Benutzername und ein Passwort erforderlich. RDP verfügte standardmäßig nicht über eine integrierte Multi-Faktor-Authentifizierung.

Wie erkennt man unbefugten RDP-Zugriff?

Hier sind einige Schritte, mit denen Sie unbefugten RDP-Zugriff erkennen können:

  • Überprüfen Sie Ihre RDP-Protokolle auf Anzeichen für ungewöhnliches Verhalten oder böswillige Aktivitäten. Achten Sie auf fehlgeschlagene Anmeldeversuche, häufige Anmeldungen und Anmeldungen von unbekannten IP-Adressen. Diese Versuche zeigen, dass der Hacker versucht hat, auf das System zuzugreifen.
  • Sie können den Netzwerkverkehr mit Netzwerküberwachungstools wie SentinelOne untersuchen und analysieren. Achten Sie auf Netzwerkabweichungen, ungewöhnliche Verkehrsmuster und prüfen Sie, ob viele Daten an bestimmte IP-Adressen gesendet werden oder von diesen stammen.
  • Port 3389 zeigt Aktivitätsspitzen an, wenn etwas nicht stimmt. Zeichnen Sie Ihren Netzwerkverkehr auf, überwachen Sie ihn und scannen Sie ihn, um unerwünschte Zugriffsversuche zu identifizieren.

Bewährte Verfahren zur Verhinderung von RDP-Angriffen (mehr als 10)

Hier sind einige der zu befolgenden Vorgehensweisen in der richtigen Reihenfolge. Sobald Sie diese umgesetzt haben, wissen Sie, wie Sie RDP-Angriffe verhindern können:

  • Erstellen Sie extrem sichere Passwörter, indem Sie Sonderzeichen, Zahlen, Buchstaben und Symbole miteinander kombinieren. Wir empfehlen eine Länge von mindestens 15 Zeichen. Sie sollten Passwörter auch mischen und nicht dasselbe Passwort für alle Konten wiederverwenden. Verwenden Sie einen Passwort-Tresor, wenn Sie Schwierigkeiten haben, sich alle Ihre Passwörter zu merken und den Überblick zu behalten.
  • Wenden Sie Microsoft-Updates automatisch für alle Ihre Client- und Server-Softwareversionen an. Stellen Sie sicher, dass die Einstellung aktiviert ist und Updates im Hintergrund ohne manuelle Anfragen installiert werden. Sie sollten auch die Behebung von RDP-Sicherheitslücken mit bekannten öffentlichen Exploits priorisieren.
  • Implementieren Sie eine Multi-Faktor-Authentifizierung und verwenden Sie die neuesten Richtlinien zur Kontoüberwachung, um Brute-Force-Angriffe abzuwehren. Sie sollten auch den Standard-RDP-Port von 3389 auf einen anderen ändern, um die Sicherheit zu erhöhen.
  • Verwenden Sie eine Whitelist für Ihre Verbindungen und beschränken Sie diese auf bestimmte vertrauenswürdige Hosts. Wir empfehlen, den Zugriff auf den Remote-Desktop-Port nur auf ausgewählte und verifizierte IP-Adressen zu beschränken. Wenn Sie die Servereinstellung ändern, verhindert dies, dass Verbindungsversuche von IP-Adressen akzeptiert werden, die nicht auf der Whitelist stehen. Böswillige Versuche und Prozesse werden automatisch blockiert.
  • Errichten Sie eine Zero Trust Network Security Architecture (ZTNA) und setzen Sie das Prinzip des geringstmöglichen Zugriffs für alle Konten durch. Es ist wichtig, regelmäßige Überprüfungen durchzuführen und sicherzustellen, dass alle RDP-Ports sicher sind.
  • Beschränken Sie den Zugriff auf RDP-Verbindungen durch die Installation von Firewalls. Sie sollten außerdem den Adresspool des virtuellen privaten Netzwerks Ihres Unternehmens zu Ihren RDP-Firewall-Ausnahmeregeln hinzufügen. Aktivieren Sie die Authentifizierung auf Netzwerkebene, bevor Sie neue RDP-Verbindungen herstellen.
  • Richten Sie Remote-Desktop-Server so ein, dass sie Verbindungen ohne NLA akzeptieren, wenn Sie Remote-Desktop-Clients auf nicht unterstützten Plattformen verwenden. Überprüfen Sie Ihre Gruppenrichtlinieneinstellungen und machen Sie die Benutzerauthentifizierung für alle Remote-Verbindungen obligatorisch.
  • Sie können auch Richtlinien für die Kontosperrung festlegen. Bei einer bestimmten Anzahl falscher Versuche verhindert dies, dass Hacker mit automatisierten Tools zum Erraten von Passwörtern unbefugten Zugriff erhalten. Sie können bis zu drei ungültige Versuche mit einer Sperrdauer von jeweils drei Minuten festlegen.
  • Verwenden Sie fortschrittliche KI-Lösungen zur Erkennung von Bedrohungen und zum Schutz vor Malware. Richten Sie Hintergrund-Scanprozesse und Endpunkt-Sicherheitsüberwachung ein, damit Ihre Geräte, Netzwerke und Benutzer ständig überwacht werden. Dies trägt dazu bei, Insider- und Schatten-IT-Angriffe zu verhindern, und bietet einen zusätzlichen Schutz.
  • Schulen Sie Ihre Mitarbeiter darin, fehlgeschlagene RDP-Verbindungen und Zugriffsversuche zu erkennen. Ermutigen Sie sie, ihre Erkenntnisse bei Bedarf anonym zu melden, und fördern Sie eine Kultur der Transparenz am Arbeitsplatz. Wenn Ihre Mitarbeiter aktiv und engagiert sind, ist das gesamte Team auf dem gleichen Stand. Alle Ihre Abteilungen sollten wissen, wie RDP-Angriffe verhindert werden können, und sich der Schritte bewusst sein, die Angreifer unternehmen, um Kontrollen und Berechtigungen zu eskalieren. Sicherheit beginnt damit, zuerst die Benutzer zu schützen, die diese Technologien nutzen, bevor Automatisierungstools und Workflows zur Verteidigung eingesetzt werden.

Tiefer gehende Bedrohungsdaten erhalten

Erfahren Sie, wie der SentinelOne-Service WatchTower zur Bedrohungssuche mehr Erkenntnisse liefert und Ihnen hilft, Angriffe abzuwehren.

Mehr erfahren

Wie reagiert man auf einen RDP-Angriff?

Verwenden Sie die SentinelOne Singularity XDR-Plattform, um die Untersuchung von Vorfällen zu automatisieren und die besten RDP-Playbook-Praktiken anzuwenden. So können Sie Ihrem SOC-Team helfen, schneller zu reagieren. Hier sind die Schritte, die Sie unternehmen müssen, wenn Sie von einer RDP-Infektion betroffen sind:

  • Blockieren Sie die IP-Adresse des kompromittierten Benutzers und des Angreifers, sobald Sie diese entdecken. Dadurch wird die Bedrohung eingedämmt und in Quarantäne gestellt. Starten Sie eine ASN-Untersuchung und überprüfen Sie die Benutzeraktivitäten. Verwenden Sie das XSOAR-Modul von SentinelOne, um RDP-bezogene Kampagnen zu erkennen.
  • Singularity Threat Intelligence und Purple AI können Ihnen tiefere Einblicke in die IP-Adresse der Angreifer geben. Isolieren Sie die kompromittierten Endpunkte und rufen Sie Aktivitäten entsprechend den verschiedenen MITRE-Stufen ab. SentinelOne begleitet Sie durch den gesamten Prozess von der Anreicherung über die Untersuchung bis hin zur Reaktion. Sie können den Vorfall schließen, aktualisieren und mit XDR synchronisieren. Über das einheitliche Dashboard und die Konsole können Sie alle Informationen zu internen und externen Benutzerverwaltungsökosystemen einsehen.
  • Wenn Sie eine eingehende Untersuchung durchführen möchten, können Sie die Threat-Hunting-Services von SentinelOne in Betracht ziehen. Diese zeigen Ihnen weitere IoCs (Indikatoren für Kompromittierungen) im Zusammenhang mit der IP-Adresse oder den Kampagnen von Angreifern.
  • Nutzen Sie weiterhin die Plattform von SentinelOne, um sich gegen RDP-Brute-Force-Angriffe zu verteidigen und die kritischen Ressourcen Ihres Unternehmens zu schützen. Implementieren Sie die besten Cybersicherheitsmaßnahmen und stärken Sie Ihre Cloud-Abwehr gegen neue Bedrohungen.

Beispiele für RDP-basierte Cyberangriffe aus der Praxis

Der Standardport 3389 von RDP kann für On-Path-Angriffe genutzt werden. BlueKeep war eine der schwerwiegendsten RDP-Sicherheitslücken und wurde offiziell als CVE-2019-0708 bezeichnet. Es handelte sich um eine Remote-Code-Ausführung (RCE) ohne Authentifizierung, die einem bestimmten Format folgte. Sie war funktionsfähig und breitete sich schließlich auf andere Rechner innerhalb des Netzwerks aus. Die Benutzer konnten nichts dagegen unternehmen, und die Angreifer kompromittierten die Systeme, indem sie sich unbefugten Zugriff verschafften und sich während des gesamten Prozesses lateral innerhalb des Netzwerks bewegten. Sie hatten ihre Berechtigungen erweitert und Malware installiert, sogar Ransomware eingesetzt.

Angreifer können falsch konfigurierte RDP-Ports schnell identifizieren und mit Hilfe von Webcrawlern wie Shodan Angriffe starten. Sie können Brute-Force-Angriffe starten, sich automatisch unbefugten Zugriff verschaffen und sogar Man-in-the-Middle-Angriffe (MitM) starten. Malware-Module wie Sodinokibi, GandCrab und Ryuk können ebenfalls an RDP-Angriffen beteiligt sein. Dies war beispielsweise bei dem RobinHood-Ransomware-Angriff auf die Stadt Baltimore der Fall.

RDP-Angriffe mit SentinelOne abwehren

SentinelOne kann Remote Desktop Protocol-Verbindungen blockieren, einschließlich verdächtiger P2P-Remote-Desktop-Angriffe. Es kann seine Endpoint-Sicherheitsfunktionen nutzen, um den Fernzugriff für die vollständige Remote-Shell zu sichern. Sie können den Agenten von SentinelOne bereitstellen und alle Anwendungen und Dateien überwachen, einschließlich RDP-bezogener Prozesse und Verbindungen.

SentinelOne kann automatisch den Fernzugriff auf alle Geräte bereitstellen, einschließlich RDP-bezogener Geräte.

Mit SentinelOne können Sie auch Maßnahmen ergreifen, z. B. Dateien unter Quarantäne stellen und nicht autorisierte Änderungen rückgängig machen. Es kann P2P-RDP-Angriffe erkennen und blockieren, die handelsübliche Tools wie TeamViewer oder VMC für die Fernsteuerung verwenden.

Sie können auch die neuesten Schwachstellen erkennen und sich vor ihnen schützen, wie beispielsweise die BlueKey-Schwachstelle, die dafür bekannt ist, RDP-Verbindungen anzugreifen und auszunutzen. SentinelOne bietet zusätzliche Sicherheitsmaßnahmen, wie die Implementierung richtlinienbasierter Zugriffskontrollen. Es verwendet dedizierte Passwörter zur Verschlüsselung jeder Sitzung und implementiert außerdem Multi-Faktor-Authentifizierung.

Es kann eine Zwei-Faktor-Authentifizierung vor dem Zugriff anwenden und verfügt über detaillierte Audit-Daten.

SentinelOne kann auch verwendet werden, um Fernzugriff auf alle Geräte bereitzustellen, einschließlich RDP-bezogener Prozesse und Verbindungen.

Der Agent und das Befehlszeilentool von SentinelOne können die Agenten verwalten. Sie können den Status überprüfen, Diagnosen durchführen und Endpunkte überwachen und schützen. SentinelOne lässt sich mit seiner speziellen App auch in andere Plattformen wie SonicWall und NinjaOne integrieren. Es gewährleistet nahtlose RDP-Verbindungen über mehrere Plattformen hinweg und bietet die beste integrierte Sicherheit auf Basis künstlicher Intelligenz.

Buchen Sie eine kostenlose Live-Demo.

Fazit und CTA

RDP-Angriffe stellen nach wie vor eine Bedrohung für Unternehmen jeder Größe dar. Sie können sich gegen solche Angriffe schützen, indem Sie die in diesem Leitfaden beschriebenen Maßnahmen befolgen. Sie benötigen sichere Passwörter, Multi-Faktor-Authentifizierung und regelmäßige Updates, um Ihre Sicherheit zu gewährleisten. Durch die Überwachung des Netzwerkverkehrs und der RDP-Protokolle können Sie verdächtige Aktivitäten frühzeitig erkennen. Sie müssen RDP deaktivieren, wenn Sie es nicht verwenden, und den Zugriff durch Firewalls und Whitelisting einschränken. Für eine gute Verteidigungsstrategie benötigen Sie jedoch fortschrittliche Tools und Mitarbeiterschulungen. SentinelOne bietet KI-gestützten Schutz, der RDP-basierte Bedrohungen automatisch erkennt und blockiert und Ihnen vollständige Transparenz und Kontrolle über Ihre Remote-Desktop-Umgebung verschafft.

Schützen Sie Ihr Unternehmen noch heute mit SentinelOne.

"

FAQs

Das Deaktivieren von RDP bei Nichtgebrauch kann die Cybersicherheit Ihres Unternehmens schützen und verbessern. Sie können das Risiko potenzieller Angriffe verringern und Angriffsflächen minimieren. Das Deaktivieren von RDP kann verhindern, dass Hacker plötzlich unbefugten Zugriff auf Ihre sensiblen Daten erhalten, und gilt als Standardmaßnahme zur Sicherheit.

Die Endpunktsicherheit bildet die erste Verteidigungslinie für RDP-Verbindungen. Mit Endpunktlösungen, die ungewöhnliche Verhaltensweisen verfolgen, können Sie alle RDP-Aktivitäten überwachen. Sie erhalten Einblick darin, wer sich mit Ihrem Netzwerk verbindet und wann diese Verbindungen hergestellt werden. Wenn Sie Lösungen wie SentinelOne einsetzen, erhalten Sie Warnmeldungen zu verdächtigen RDP-Aktivitäten. Ihre Endpunkte müssen ständig überwacht werden, da sie als Einstiegspunkte für Angreifer dienen, die auf RDP-Schwachstellen abzielen.

Unternehmen benötigen mehrschichtige Sicherheitsansätze für den RDP-Schutz. Sie sollten strenge Passwortrichtlinien mit mindestens 15 Zeichen implementieren. Sie müssen eine Multi-Faktor-Authentifizierung für alle Remote-Verbindungen durchsetzen. Wenn Sie den Standard-RDP-Port von 3389 ändern, erschweren Sie Angreifern das Auffinden. Sie können den RDP-Zugriff durch Allowlisting auf bestimmte IP-Adressen beschränken. Es gibt weniger Risiken, wenn Sie ein VPN für alle Remote-Desktop-Verbindungen einrichten.

Es gibt verschiedene Arten von RDP-Angriffen, die Sie kennen sollten. Bei Brute-Force-Angriffen werden wiederholt Benutzername-Passwort-Kombinationen ausprobiert, bis der Zugriff gelingt. Sie werden mit Credential Stuffing konfrontiert, bei dem Angreifer gestohlene Anmeldedaten aus anderen Sicherheitsverletzungen verwenden. Wenn Sie ungewöhnliche RDP-Verbindungsversuche bemerken, könnte es sich um Man-in-the-Middle-Angriffe handeln, um Ihre Daten abzufangen. Es kann auch zu BlueKeep-artigen Schwachstellen kommen, die RDP ohne Authentifizierung ausnutzen. RDP kann zu einem Einstiegspunkt für Ransomware werden, wenn Sie es ungeschützt lassen.

RDP-Angriffe ermöglichen direkten Zugriff auf Ihre Systeme mit legitimen Benutzeranmeldedaten. Wenn Angreifer über RDP Administratorrechte erlangen, sind Sie vollständig kompromittiert. Bei einer RDP-Sicherheitsverletzung können sich Angreifer lateral in Ihrem Netzwerk bewegen. Sie können sensible Daten verlieren, wenn Hacker Informationen über etablierte RDP-Sitzungen extrahieren. Sie sollten jedoch wissen, dass RDP-Angriffe oft über längere Zeiträume unentdeckt bleiben, sodass Angreifer ihre Aktivitäten fortsetzen können. Wenn nur eine einzige RDP-Verbindung kompromittiert wird, ist Ihr gesamtes Unternehmen gefährdet.

Erfahren Sie mehr über Intelligente Bedrohung

Wie lassen sich Angriffe zur Rechteausweitung verhindern?Intelligente Bedrohung

Wie lassen sich Angriffe zur Rechteausweitung verhindern?

Die Eskalation von Berechtigungen und die Kontrolle anderer Konten und Netzwerke ist einer der ersten Schritte von Angreifern, um Ihr Unternehmen anzugreifen. In unserem Leitfaden erfahren Sie, wie Sie Angriffe zur Eskalation von Berechtigungen verhindern können.

Mehr lesen
Wie kann man Cryptojacking verhindern?Intelligente Bedrohung

Wie kann man Cryptojacking verhindern?

Cryptojacking ist das illegale Schürfen von Kryptowährungen. Das Hauptmotiv ist Profit, aber im Gegensatz zu anderen Bedrohungen bleibt es vollständig verborgen und läuft im Hintergrund, sodass der Benutzer nichts davon bemerkt. Cryptojacking nutzt auch die Geräte anderer Personen auf unbefugte Weise. Die Opfer wissen nicht, dass ihre Smartphones, Server oder Tablets zum Schürfen von Kryptowährungen verwendet werden. In diesem Leitfaden erfahren Sie alles, was Sie über diese Angriffe wissen müssen und wie Sie Cryptojacking-Bedrohungen verhindern können. Was ist Cryptojacking? Cryptojacking ist ein Angriff, bei dem sich eine Bedrohung in ein mobiles Gerät oder einen Computer einschleust. Anschließend übernimmt sie die Kontrolle über die Ressourcen des Systems und beginnt mit dem Mining von Kryptowährungen. Kryptowährungen sind digitales Geld oder virtuelle Währungen in Form von Tokens. Eine der beliebtesten Kryptowährungen ist Bitcoin, eine weitere ist Ethereum. Derzeit gibt es über 3000 weitere Kryptowährungen. Cryptojacking ist ein Angriff, bei dem sich eine Bedrohung in ein mobiles Gerät oder einen Computer einschleust. Anschließend übernimmt sie die Kontrolle über die Ressourcen des Systems und beginnt mit dem Mining von Kryptowährungen. Alle Kryptowährungen werden in einer dezentralen Datenbank gespeichert und verteilt, die als Blockchain bekannt ist. Blockchain-Netzwerke werden regelmäßig aktualisiert und arbeiten zusammen, um Transaktionen zu verarbeiten. Komplexe mathematische Gleichungen werden verwendet, um Transaktionssätze durchzuführen und sie zu Blöcken zusammenzufassen. Alle Blöcke, alle Änderungen und alle Änderungen in jedem dieser Blöcke müssen von den Personen autorisiert werden, die Informationen darin teilen und speichern. Personen, die Rechenressourcen gegen Währung eintauschen, werden als Miner bezeichnet. Es gibt Teams von Minern, die spezielle Computeranlagen betreiben, um die erforderlichen Transaktionen zu verarbeiten. Miner benötigen eine enorme Rechenleistung, um die erforderlichen Transaktionen zu verarbeiten. Das Bitcoin-Netzwerk verbraucht derzeit mehr als 7373 TWh Energie pro Jahr. Cryptojacking ist ein Angriff, bei dem sich eine Bedrohung in ein mobiles Gerät oder einen Computer einschleust und die Rechenleistung und Ressourcen von Blockchain-Netzwerken ausnutzt. Wie funktioniert Cryptojacking? Cryptojacker schürfen nach Kryptowährungen, ohne viel in Rechenleistung zu investieren, da sie keine teure Hardware oder hohe Stromrechnungen bezahlen möchten. Cryptojacking bietet Hackern eine Möglichkeit, Kryptowährungen zu erhalten, ohne hohe Kosten zu verursachen. Sie schürfen diese Währungen auf PCs, die schwer zu verfolgen sind. Die Bedrohung durch Cryptojacking hängt vom Auf- und Abschwung der Kryptowährungen ab. In den letzten Jahren sind die Cryptojacking-Vorfälle jedoch etwas zurückgegangen, da die Strafverfolgungsbehörden gegen die Verbreitung von Kryptowährungen vorgehen. CoinHive war eine Website, die mit Krypto-Minern zusammenarbeitete und kürzlich geschlossen wurde. Ihr Quellcode wurde häufig missbraucht, und das Mining-Skript konnte von Hackern ohne Wissen der Website-Betreiber in verschiedene Websites eingeschleust werden. Nach der Schließung gab es weiterhin Cryptojacking-Vorfälle. Cryptojacking erlebte einen starken Rückgang. Der Hauptgrund für Cryptojacking-Angriffe ist das schnelle Geld. Geld zu verdienen, ohne hohe Kosten zu verursachen, ist einer der größten Anreize. Um zu verstehen, wie Cryptojacking funktioniert, muss man wissen, dass Kryptowährungen mit verteilten Datenbanken arbeiten. Diese Datenbanken werden als Blockchains bezeichnet und jede Blockchain wird regelmäßig mit Daten über aktuelle Transaktionen aktualisiert. Jede Transaktion erfordert eine Aktualisierung, und jeder überträgt seine Aktualisierungen, wobei die aktuellen Transaktionen zu Blöcken zusammengefasst werden, die durch komplexe mathematische Prozesse festgelegt werden. Kryptowährungen müssen neue Blöcke erstellen, und Einzelpersonen müssen die dafür erforderliche Rechenleistung bereitstellen. Kryptowährungen werden auch an Miner vergeben, also an Personen, die dafür bekannt sind, die erforderliche Rechenleistung bereitzustellen. Große Teams von Minern betreiben möglicherweise spezielle Computeranlagen und tragen zu Prozessen bei, die enorme Mengen an Strom erfordern. Cryptojacker umgehen diese Anforderungen und versuchen, andere auszunutzen, die die Rechenleistung bereitstellen. Anzeichen dafür, dass Ihr System mit Cryptojacking-Malware infiziert sein könnte Obwohl Cryptojacking nicht so bösartig oder schädlich ist wie Ransomware, kann es nicht als geringfügige Cyber-Bedrohung abgetan werden. Cryptojacking kann Unternehmen und Opfern sowohl direkte als auch indirekte Verluste verursachen. Die Opfer zahlen mehr als erwartet für die Bereitstellung ihrer Rechenleistung. Sie merken nicht, dass ihre Ressourcen von anderen genutzt werden. Cryptojacking-Angriffe können monatelang oder jahrelang unentdeckt bleiben, wodurch sich der Preis erhöhen kann. Um ihre wahre Herkunft oder versteckte Kosten zu ermitteln. Heutzutage gibt es auch mobile Mining-Malware, die sich über die Akkus infizierter Geräte ausbreiten und Telefone so stark beeinträchtigen kann, dass sie physisch deformiert werden. Wenn Sie böswillig nach Kryptowährungen schürfen, belastet dies Ihre Mobiltelefone, und die Akkus infizierter Geräte können sich so stark ausdehnen, dass die Telefone physisch deformiert werden. Das Problem der verschwendeten Bandbreite kann die Effizienz und Geschwindigkeit von Rechenaufgaben verringern. Cryptojacking-Malware kann Leistungsprobleme verursachen und unmittelbare Auswirkungen auf Kunden und Geschäftsabläufe haben. Auch Endbenutzer sind betroffen, und Ihre Mitarbeiter können möglicherweise in Zeiten, in denen sie sie benötigen, nicht auf wichtige Daten zugreifen. Cryptojacking-Angriffe können als Ablenkungsmanöver für groß angelegte Angriffe wie Ransomware oder mehrstufige Erpressungsversuche genutzt werden. Sie können Ihre Benutzer in die Irre führen und sie von den ernsteren Bedrohungen ablenken. Diese Angriffe können mit Virenangriffen kombiniert werden, um die Opfer mit Werbung zu bombardieren, oder mit Scareware-Taktiken, damit sie am Ende Lösegeld zahlen. Die meisten Cryptojacking-Angriffe sind finanziell motiviert, aber ihr eigentliches Ziel könnte darin bestehen, infizierte Systeme zu überlasten und physische Schäden zu vergrößern. So funktionieren Cryptojacking-Angriffe: Cryptojacking beginnt in erster Linie damit, dass versucht wird, das Opfer dazu zu bewegen, einen Crypto-Mining-Code auf sein Gerät zu laden. Der Hacker kann Social Engineering, Phishing oder ähnliche Methoden einsetzen, um das Opfer dazu zu bewegen, auf Links zu klicken und diese zu aktivieren. Wenn ein Benutzer mit der E-Mail interagiert und auf den bösartigen Code klickt, wird das Skript für das Crypto-Mining auf dem Gerät ausgeführt und läuft im Hintergrund. Die zweite Methode des Cryptojackings besteht darin, den Code in das Gerät einzuschleusen, wo er im Hintergrund von Websites oder als Werbung ausgeführt wird. Wenn ein Opfer diese Websites öffnet oder auf die angezeigten Werbeanzeigen klickt, wird das Cryptojacking-Skript automatisch ausgeführt. Die Ergebnisse des Skripts werden an einen Server gesendet, der direkt vom Hacker kontrolliert wird. Hybride Cryptojacking-Angriffe können beide Strategien kombinieren und die Wirksamkeit von browserbasierten Cryptojacking-Angriffen erhöhen. Einige Crypto-Mining-Skripte können sich ihren Weg bahnen und andere Server und Geräte in den Zielnetzwerken infizieren. Bewährte Methoden zur Verhinderung von Cryptojacking-Angriffen Eine der besten Möglichkeiten, Cryptojacking-Angriffe zu verhindern, besteht darin, Ihr IT-Team über potenzielle Fallstricke und deren Erkennung zu informieren. Es sollte die ersten Anzeichen und Phasen eines Cryptojacking-Angriffs kennen und in der Lage sein, alle Phasen des Lebenszyklus eines Cryptojacking-Angriffs zu identifizieren. Sie sollten auch sicherstellen, dass es darauf vorbereitet ist, sofort zu reagieren und selbst weitere Untersuchungen durchzuführen. Ihre Mitarbeiter sollten darin geschult werden, Anzeichen wie ungewöhnliches Verhalten oder Überhitzung von Computersystemen zu erkennen. Sie sollten wissen, dass sie nicht auf verdächtige Links und bösartige Anhänge in E-Mails klicken und nur Dateien aus vertrauenswürdigen und verifizierten Quellen herunterladen dürfen. Ihr Unternehmen sollte außerdem Anti-Crypto-Mining-Erweiterungen installieren, um Cryptojacking-Skripte automatisch zu blockieren, wenn Ihre Benutzer verschiedene Websites über den Webbrowser besuchen. Es gibt viele Browser-Erweiterungen, die Krypto-Miner im World Wide Web blockieren können. Sie können auch Werbeblocker verwenden, um die Ausführung von Cryptojacking-Skripten zu verhindern. Deaktivieren Sie JavaScript, wenn Sie im Internet surfen, um zu verhindern, dass Cryptojacking-Code eingeschleust wird. Durch die Deaktivierung von JavaScript werden automatisch einige Funktionen blockiert, die beim Surfen im Internet benötigt werden. Dies sollten Sie berücksichtigen. Wie kann man Cryptojacking-Malware erkennen und entfernen? Das offensichtlichste Anzeichen dafür, dass Ihr Gerät von einem Cryptojacking-Angriff infiziert wurde, ist die Abweichung vom normalen Verhalten. Ihre Systeme können unter Leistungsabfall und langsameren Verarbeitungszeiten leiden und unerwartet abstürzen. Ein weiteres Anzeichen ist, dass der Akku viel schneller als normalerweise verbraucht wird. Ressourcenintensive Prozesse können zu einer Überhitzung der Systeme führen und Ihre Computer beschädigen. Sie können die Lebensdauer Ihrer Geräte verkürzen, und Cryptojacking-Skripte sind dafür bekannt, dass sie Websites überlasten. Die CPU-Auslastung steigt auch dann, wenn es wenig bis gar keine Medieninhalte gibt, also auf den Websites, die Sie besuchen. Das ist ein klares Anzeichen dafür, dass im Hintergrund ein Cryptojacking-Skript ausgeführt wird. Sie können einen Test durchführen, um die CPU-Auslastung auf dem Gerät zu überprüfen, indem Sie den Task-Manager oder das Tool zur Aktivitätsüberwachung verwenden. Der Nachteil dieser Erkennung ist jedoch, dass Ihr Computer, wenn er bereits mit maximaler Kapazität läuft, langsam werden könnte. Wenn das Skript also im Hintergrund läuft, ist es in einem solchen Fall schwierig, Fehler zu beheben und mehr darüber herauszufinden. Beispiele für Cryptojacking-Angriffe aus der Praxis Die USAID wurde kürzlich Opfer eines Passwort-Spray-Angriffs, der sie rund 500.000 US-Dollar an Microsoft-Servicegebühren gekostet hat. Cryptojacking über CVE-2023-22527 hatte ein vollwertiges Crypto-Mining-Ökosystem zerlegt. Die kritische Schwachstelle hatte Auswirkungen auf die betroffenen Umgebungen, und die Angreifer hatten Methoden wie den Einsatz von Shell-Skripten und XMRig-Minern verwendet. Sie zielten auf SSH-Endpunkte ab, beendeten konkurrierende Krypto-Mining-Prozesse und sorgten über Cron-Jobs für Persistenz. Ein weiteres Beispiel für einen Cryptojacking-Angriff in der Praxis ist der Fall von TripleStrength und wie dieser die Cloud traf. Der Angreifer hatte auf gekaperten Cloud-Ressourcen Mining-Aktivitäten durchgeführt und Ransomware-Aktivitäten durchgeführt. Er führte eine Dreifachkampagne aus, die Ransomware, Erpressung und Cryptocurrency-Mining umfasste. Fazit Cryptojacking ist eine kontinuierliche und sich weiterentwickelnde Bedrohung, die Ihre Ressourcen unbemerkt ausbeuten und die Systemleistung beeinträchtigen kann. Wir haben aufgezeigt, dass proaktive Maßnahmen wie Mitarbeiterschulungen, wachsame Überwachung und robuste Sicherheitslösungen erforderlich sind, um diese verdeckten Angriffe zu bekämpfen. Mit einem Verständnis der Angriffsvektoren und der Implementierung praktischer Lösungen können Unternehmen Risiken minimieren und die Betriebsintegrität aufrechterhalten. Lassen Sie Cyberkriminelle Ihre Systeme nicht ausnutzen – handeln Sie noch heute und schützen Sie Ihr Netzwerk mit fachkundiger Beratung. Kontaktieren Sie SentinelOne noch heute, um Ihre Cybersicherheitsmaßnahmen zu verstärken."

Mehr lesen
Was sind Darknets und Dark Markets?Intelligente Bedrohung

Was sind Darknets und Dark Markets?

Darknets und Dark Markets erleichtern illegale Aktivitäten im Internet. Erfahren Sie, wie sie funktionieren und welche Auswirkungen sie auf die Cybersicherheit haben.

Mehr lesen
Wie lassen sich Social-Engineering-Angriffe verhindern?Intelligente Bedrohung

Wie lassen sich Social-Engineering-Angriffe verhindern?

Fallen Sie nicht auf die neuesten Scareware-, Spamware- und Betrugsmaschen herein. Informieren Sie sich darüber, wie Sie Social-Engineering-Angriffe verhindern können, wie diese funktionieren, und ergreifen Sie Maßnahmen, um Bedrohungen zu bekämpfen und zu isolieren.

Mehr lesen
Sind Sie bereit, Ihre Sicherheitsabläufe zu revolutionieren?

Sind Sie bereit, Ihre Sicherheitsabläufe zu revolutionieren?

Entdecken Sie, wie SentinelOne AI SIEM Ihr SOC in ein autonomes Kraftpaket verwandeln kann. Kontaktieren Sie uns noch heute für eine persönliche Demo und erleben Sie die Zukunft der Sicherheit in Aktion.

Demo anfordern