Tools und Programme, die auf einem Rechner installiert werden, ohne genutzt zu werden, stellen im Falle eines Hacking-Angriffs ein unnötiges Sicherheitsrisiko dar.
Im Folgenden beschreibt die Firma Sophos den Ablauf eines realen Hackerangriffs mit der (vergleichsweise unbekannten) Ransomware Midas, der sich von Oktober bis Dezember 2021 in einem Unternehmen abspielte.
Die betroffene Firma nutzte eine typische IT- und Sicherheitsinfrastruktur mit Windows-Servern, auf denen virtuelle Maschinen liefen. Es existierte eine flache Topologie und alles war via VPN zugänglich, also kaum Kontrolle darüber, wer auf die Rechner zugreift.
Es war kein Zero-Trust-Modell vorhanden, welches die Zugriffe kontrolliert und eingeschränkt hätte. Das System war nach außen abgeschirmt, aber nicht nach innen.
Am 13. Oktober, zwei Monate vor dem eigentlichen Angriff, infiltrierten Hacker das System und wurden auf mehreren Computern des internen Netzwerkes aktiv.
Dabei erstellten sie u. a. Skripte, verschoben Dateien und starteten Remote-Verbindungen, um alles auf den Angriff vorzubereiten. Sie nutzen dabei Tools wie AnyDesk und Teamviewer, die auf allen Computern installiert waren, obwohl sie nie genutzt wurden.
Die tatsächliche Verteilung der Ransomware auf die Netzwerkcomputer fand aber erst am 7. Dezember statt.
Tools wie AnyDesk und Teamviewer wurden vorher vom IT-Team auf den Rechnern getestet, jedoch nie entfernt.
Weitere Informationen finden Sie hier:
https://www.secupedia.info/aktuelles/das-problem-ungenutzter-und-vergessener-tools-18299