Diagnose des «Ransomware Deployment Protocol» (RDP)

Das Remote Desktop Protocol (RDP) ist der beliebteste anfängliche Ransomware-Angriffsvektor und das schon seit Jahren. Für den Unit 42 Incident Response and Data Breach Report 2020 untersuchte Unit 42 Daten von über 1’000 Vorfällen und fand heraus, dass in 50 % der Ransomware-Einsatzfälle RDP der anfängliche Angriffsvektor war. Im Cortex Xpanse Attack Surface Threat Report 2021 fanden die Forscher von Cortex Xpanse heraus, dass RDP für 30 % der gesamten Angriffe verantwortlich war, was mehr als das Doppelte des nächsthäufigsten Angriffs ist.

RDP ist ein Protokoll auf Microsoft Windows-Systemen, das es Benutzern ermöglicht, eine Fernverbindung zu einem entfernten System herzustellen und dieses zu steuern. Die häufigste legitime Verwendung besteht darin, dem IT-Support zu ermöglichen, das System eines Benutzers fernzusteuern, um ein Problem zu beheben. In jüngerer Zeit wurde RDP für Cloud Computing populär, um auf virtuelle Maschinen (VMs) in Cloud-Umgebungen zuzugreifen oder um Cloud-Ressourcen aus der Ferne zu verwalten.

Es ist extrem einfach, RDP unbeabsichtigt freizulegen, indem man RDP auf einem vergessenen System, einer Cloud-Instanz, einem zuvor durch Netzwerksegmentierung geschützten Gerät oder durch eine direkte Verbindung mit dem Internet offen lässt. Noch schlimmer ist, dass RDP immer weiter verbreitet und exponiert ist und ein immer grösseres Risiko darstellt, das zu Angriffen – insbesondere zum Einsatz von Ransomware -, Datenverlusten, teuren Ausfallzeiten und Abhilfemassnahmen, sowie Markenschäden für Unternehmen führen kann.

RDP ist ein beliebtes Ziel von Bedrohungsakteuren, da ein Angreifer, sobald er sich Zugang verschafft hat, vollen Zugriff (bis zur Ebene des kompromittierten Benutzerkontos) auf das System hat. Wenn ein Administratorkonto angegriffen wird, ist das eine Katastrophe. Aber auch wenn ein eingeschränkteres Benutzerkonto kompromittiert wird, muss der Angreifer nur eine weitere Schwachstelle auf dem System finden, um die Privilegien zu erhöhen und weiteren Zugriff zu erhalten.


Lesen Sie Kane Lightowlers Blog hier, um mehr darüber zu erfahren, wie Sie die Ransomware-Lotterie vermeiden, sicherstellen, dass Sie keine unnötigen RDP-Schwachstellen haben, und RDP zu einer Priorität machen.

Laden Sie den 2021 Cortex Xpanse Attack Surface Threat Report herunter um mehr über die Risiken für Ihre Angriffsfläche zu erfahren.

Wenden Sie sich an Ihren lokalen Exclusive Networks Account Manager, um zu erfahren, wie das Produkt- und Serviceportfolio von Palo Alto Networks dazu beitragen kann, die Umgebungen Ihrer Kunden vor RDP-Angriffen zu schützen.