Wenn wir über Cyberangriffe sprechen, gibt es drei grundlegende Möglichkeiten, wie Angreifer Zugang zu einem Opfernetzwerk erhalten:
Phishing: Sie nutzen die Fähigkeit von E-Mails, ein Netzwerk logisch zu infiltrieren und Angreifern einen Ansatzpunkt zu bieten, wenn der Angriff erfolgreich ist und einen Endpunkt infiziert.
Schwachstellen: Durch die Ausnutzung von Zero-Day-Schwachstellen oder bekannten Schwachstellen (die noch nicht gepatcht wurden) können Angreifer erhöhte Rechte auf Systemen und Anwendungen erlangen und diese für den Zugriff auf den Rest des Netzwerks nutzen.
RDP/Fernzugriff: Angreifer verwenden entweder kompromittierte Anmeldedaten oder Brute-Force-Angriffe auf Passwörter, um sich Zugang zu einem Netzwerk zu verschaffen.
Unternehmen konzentrieren sich in der Regel auf die ersten beiden oben genannten Angriffsvektoren. Wenn es um den dritten geht, konzentrieren sie sich meist auf RDP selbst und nicht darauf, wie unsicher die Authentifizierung ist, sobald ein Angreifer in eine Remote-Anmeldesitzung eindringt.
In diesem Artikel wollen wir also untersuchen, was passiert, wenn ein Angreifer einen Fernzugriff findet und nutzt. Fernzugriff Sitzung (RDP oder anderweitig, hier allgemein bezeichnet als Fernzugriff).
Wir werfen einen Blick auf die Brute-Force-Angriffsmethoden, die zur Kompromittierung von Anmeldedaten verwendet werden, wie weit verbreitet sie sind, warum Benutzer es dem Angreifer tatsächlich leicht machen und was Sie dagegen tun können.
Was ist ein Brute-Force-Angriff?
Ein Brute-Force-Angriff ist eine Art von Cyberangriff, bei dem ein Angreifer durch Ausprobieren versucht, das Passwort, die Anmeldedaten oder die Verschlüsselungsschlüssel eines Benutzers zu erraten oder zu knacken. Bei dieser Angriffsmethode werden systematisch alle möglichen Kombinationen von Buchstaben, Zahlen und Sonderzeichen ausprobiert, um sich unbefugten Zugang zum Konto, System oder Netzwerk eines Benutzers zu verschaffen.
Brute-Force-Angriffe können manuell oder mit automatisierten Software-Tools durchgeführt werden, was sie bei Hackern sehr beliebt macht.
Arten von Brute-Force-Angriffen
Es gibt mehrere Arten von Brute-Force-Angriffen, darunter:
Einfacher Brute-Force-Angriff: Bei diesem Angriff werden alle möglichen Kombinationen von Buchstaben, Zahlen und Sonderzeichen ausprobiert, um das Passwort eines Benutzers zu erraten.
Umgekehrter Brute-Force-Angriff: Der Angreifer beginnt mit einem bekannten Passwort und versucht, einen passenden Benutzernamen zu finden.
Wörterbuch Angriff: Angreifer versuchen mit einer Liste von Wörtern, Phrasen und gängigen Passwörtern, das Passwort eines Benutzers zu erraten.
Hybrider Brute-Force-Angriff: Diese Art von Angriff kombiniert einen Wörterbuchangriff mit einem traditionellen Brute-Force-Angriff.
Credential Stuffing: Hierbei wird eine Liste gestohlener Benutzernamen und Kennwörter verwendet, um sich unberechtigten Zugang zu mehreren Konten zu verschaffen.
Motive hinter Brute-Force-Angriffen
Das Verständnis der Motive hinter Brute-Force-Angriffen ist für die Bewertung von Risiken und die Implementierung effektiver Sicherheitsmaßnahmen unerlässlich. Cyber-Kriminelle handeln selten ohne Absicht. Zu ihren Zielen gehören oft finanzieller Gewinn, Spionage oder die Störung des Betriebsablaufs. Branchen, die mit sensiblen Daten umgehen, wie das Gesundheits- oder Finanzwesen, sind beispielsweise einem höheren Spionagerisiko ausgesetzt, während kleinere Unternehmen aufgrund begrenzter IT-Budgets möglicherweise Ziel von Ransomware oder Diebstahl von Zugangsdaten sind.
Hier ein genauerer Blick darauf, warum Angreifer Brute-Force-Taktiken anwenden:
Diebstahl von Zugangsdaten für Profit
Einer der häufigsten Gründe für Brute-Force-Angriffe ist der Diebstahl von Benutzerdaten, wie Benutzernamen und Kennwörtern. Einmal erlangt, können diese Anmeldedaten auf Dark-Web-Marktplätzen verkauft werden, oft als Teil von großen Daten-Dumps, oder sie können verwendet werden, um unbefugten Zugang zu wertvollen Systemen zu erhalten. Ein Angreifer könnte zum Beispiel Anmeldedaten für die internen Systeme eines Unternehmens verkaufen und damit anderen ermöglichen, gezielte Angriffe wie Ransomware oder Datendiebstahl zu starten.
Ransomware-Einsatz
Brute-Force-Angriffe werden häufig als Einfallstor für die Verbreitung von Ransomware genutzt. Indem sie sich über kompromittierte Anmeldeinformationen Zugang zu Systemen verschaffen, können Angreifer wichtige Daten verschlüsseln und ein Lösegeld für deren Freigabe verlangen. Dieses Motiv wurde durch die Zunahme von Remote-Arbeiten verstärkt, die häufig auf Remote-Desktop-Protokollen (RDP) oder anderen Remote-Zugangslösungen beruhen, die für Brute-Force-Angriffe anfällig sind.
Spionage und Datenextraktion
Brute-Force-Angriffe werden von Cyberkriminellen mit Motiven der Wirtschaftsspionage oder staatlich geförderter Spionage eingesetzt. Sie ermöglichen es Angreifern, Netzwerke zu infiltrieren und sensible Daten zu extrahieren. Die Angreifer können es auf geistiges Eigentum, Geschäftsgeheimnisse oder geheime Informationen abgesehen haben. Sie verwenden schwache Authentifizierungsmethoden, um auf hochwertige Systeme zuzugreifen.
Systemunterbrechung
Manchmal ist das Ziel nicht der Diebstahl von Daten oder Geld, sondern die Störung der Abläufe in einem Unternehmen. Brute-Force-Angriffe können Teil größerer Kampagnen sein, um Systeme zu überlasten, Ausfallzeiten zu verursachen oder das Vertrauen der Kunden zu untergraben. In diesen Fällen zielen die Angreifer eher darauf ab, den Ruf oder die Fähigkeiten eines Unternehmens zu schädigen, als einen direkten finanziellen Nutzen daraus zu ziehen.
Testen und Ausnutzen von Sicherheitsschwachstellen
Brute-Force-Angriffe dienen oft als Aufklärungsinstrumente. Angreifer können sie nutzen, um die Verteidigungssysteme eines Unternehmens auszuloten und Schwachstellen in den Authentifizierungssystemen zu identifizieren. Diese Informationen können dann genutzt werden, um ausgefeiltere und gezieltere Angriffe zu entwickeln.
Wiederverwendung von Berechtigungsnachweisen über verschiedene Plattformen hinweg
Viele Menschen verwenden ihre Passwörter für mehrere Konten. Cyberkriminelle wissen das und nutzen Brute-Force-Angriffe, um nicht nur auf ein Konto, sondern möglicherweise auf ein ganzes Netzwerk miteinander verbundener Dienste zuzugreifen. Diese Taktik, die als Credential Stuffing bekannt ist, ist besonders problematisch, wenn ein einziges kompromittiertes Kennwort zu einem breiteren Einbruch führen kann.
Vermittlung von Erstzugängen
In einigen Fällen werden Brute-Force-Angriffe von sogenannten Initial Access Brokern durchgeführt. Das sind Cyberkriminelle, die sich darauf spezialisiert haben, in Netzwerke einzubrechen und den Zugang an andere Angreifer zu verkaufen. Diese Broker nutzen schwache Authentifizierungssysteme, um sich Zugang zu verschaffen und Zugangsdaten an diejenigen zu verkaufen, die groß angelegte Angriffe wie Spionage oder Ransomware durchführen wollen.
Die Kenntnis dieser Ziele kann Unternehmen dabei helfen, Prioritäten bei der Abwehr von Schwachstellen zu setzen, z. B. durch verstärkte Authentifizierung, routinemäßige Sicherheitsaudits und Mitarbeiterschulungen, um Schwachstellen wirksam zu entschärfen.
Online und Offline Brute Force Angriffe
Brute-Force-Angriffe lassen sich in zwei Hauptkategorien einteilen: online und offline, wobei jede dieser Kategorien besondere Herausforderungen mit sich bringt.
Online Brute-Force-Angriffe
Diese Angriffe zielen auf aktive Systeme oder Netzwerke ab. Die Angreifer erraten wiederholt Passwörter mithilfe automatisierter Tools. Die Angriffe erfolgen in Echtzeit, so dass sie durch die Überwachung ungewöhnlicher Anmeldeversuche, wie z. B. wiederholte Fehlversuche von einer einzigen IP-Adresse, entdeckt werden können.
Zu den Abhilfestrategien gehören Ratenbegrenzung zur Verlangsamung der Versuche, CAPTCHA-Herausforderungen zum Blockieren von Bots und Multi-Faktor-Authentifizierung (MFA) zur Erhöhung der Sicherheit.
Offline Brute-Force-Angriffe
Bei Offline-Angriffen werden gestohlene Passwort-Hashes geknackt, ohne dass eine Interaktion mit aktiven Systemen stattfindet. Die Angreifer verwenden leistungsstarke Tools, um Kombinationen zu testen, was die Entdeckung erschwert.
Zu den Schutzmaßnahmen gehören die Sicherung der Passwortspeicherung mit gesalzenen Hashes und die Verwendung einer starken Verschlüsselung. Regelmäßige System-Updates sind ebenfalls wichtig, um Sicherheitslücken zu schließen.
Warum sind Brute-Force-Angriffe ein Problem?
Jedes Mal, wenn Sie einen Bericht oder eine Branchenstatistik über RDP in eine Cyberattacke verwickelt warsehen, denken Sie daran, dass der Angreifer zum Zeitpunkt des Angriffs entweder einen funktionierenden Benutzernamen und ein Passwort hatte oder nicht, mit denen er sich anmelden konnte.
In Szenarien, in denen der Angreifer bei Null anfängt – wie bei Erstzugangs-Brokern – ist das Ziel nicht nur, sich Zugang zu verschaffen, sondern auch einen funktionierenden Satz von Zugangsdaten zu erhalten, der entweder für den aktuellen Angriff verwendet oder im Dark Web an einen anderen Angreifer verkauft wird, der nach Erstzugang sucht.
Das bedeutet, dass Angreifer manchmal Brute-Force-Angriffe auf Passwörter durchführen müssen, um das mit einem bestimmten Benutzernamen verbundene Passwort herauszufinden.
Brute-Force-Angriffs-Tools wurden entwickelt, um den Prozess des Erratens von Zugangsdaten zu automatisieren und ihn für Angreifer schneller und effizienter zu machen.
Laut dem MITRE ATT&CK Framework (ausgesprochen “ATTACK”), das nahezu jede bösartige Taktik, Technik und Vorgehensweise von Cyberkriminellen beschreibt, gibt es vier Arten von Brute-Force-Angriffsmethoden:
Passwort-Erraten: Systematisches Erraten von Passwörtern mit Hilfe eines sich wiederholenden oder iterativen Mechanismus auf der Grundlage einer Liste gängiger Passwörter.
Passwort-Spraying: Wenn ein Angreifer eine Liste von Benutzernamen erwirbt und versucht, sich mit demselben Passwort für alle anzumelden.
Passwort knacken: Verwendung von Regenbogentabellen oder Erraten von Passwörtern und Berechnen von Hashes, um Passwort-Hashes zu knacken.
Credential Stuffing: Die Verwendung von Zugangsdaten, die aus Sicherheitslücken von Konten ohne Bezug zu anderen Konten stammen, um Zugang zu den Zielkonten zu erhalten.
Die Entscheidung, eine Methode einer anderen vorzuziehen, hängt weitgehend davon ab, ob der Angreifer irgendwelche Benutzernamen und/oder Passwörter im Netzwerk des Opfers kennt.
Aber wie weit sind Brute-Force-Angriffe auf Passwörter verbreitet?
Nach Angaben des britischen Cyber-Versicherers Hiscox, begannen 17% der Ransomware-Angriffe, die sie im Rahmen von Cyberversicherungsansprüchen sahen, mit einem Brute-Force-Angriff. Das ist fast 1 von 5. Wir haben auch Brute-Force-Angriffe en masse im Jahr 2022 mit 47 Millionen Angriffe in Südostasien zielen auf Fernarbeiter.
Es ist also ein sehr reales Problem… aus zahlreichen Gründen.
1. Es gibt zahlreiche Quellen für schwache Passwörter
Passwörter, die bei Raten-, Spraying- oder Stuffing-Angriffen verwendet werden, stammen oft aus verschiedenen Quellen. Eine wichtige Quelle sind Datenschutzverletzungen, die Benutzernamen und E-Mail-Adressen offenlegen. So wurden beispielsweise bei LinkedIn im Mai 2016 164 Millionen E-Mail-Adressen und Passwörter offengelegt, was einen erheblichen Beitrag zu solchen Angriffen darstellt.
Eine weitere Quelle sind Pwned-Datenbanken, die häufig verwendete Kennwörter katalogisieren, von denen viele erstaunlich einfach sind (z.B. “P@ssw0rd!”). Darüber hinaus nutzen Angreifer oft gezielte Möglichkeiten zum Erraten, indem sie sich auf bestimmte Benutzer konzentrieren und so die Wahrscheinlichkeit erhöhen, schwache oder vorhersehbare Passwörter zu finden.
Laut dem 2023 Identity Exposure Report von Spycloud, über 7 Millionen der kompromittierten Passwörter, die bei Sicherheitsverletzungen gesammelt wurden, ein Liebes- oder Familienthema beinhalten (z.B. wenn ich den Namen Ihres Ehepartners kenne, kann ich dort anfangen zu raten). Bei diesen Angriffen werden oft systematisch verschiedene Passwortkombinationen getestet, um schwache oder häufig verwendete Passwörter auszunutzen.
2. Auch das Benutzerverhalten trägt zu Sicherheitsrisiken bei
Laut demselben Spycloud-Bericht haben 72% der Nutzer in 2022 Fällen von Sicherheitsverletzungen zuvor offengelegte Passwörter wiederverwendet, wobei 61% der Nutzer in den USA Passwörter wiederverwendet haben.
Passwörter werden durchschnittlich 13 Mal wiederverwendet. Ein Grund dafür ist die Anzahl der Systeme, Anwendungen und Plattformen, die der heutige Benutzer benötigt, um ein Login zu verwalten.in kleineren Unternehmen gibt es durchschnittlich 85 Passwörter, in größeren Unternehmen nur 25.
Die Verwendung komplexer Passwörter kann die Sicherheit von Konten erheblich verbessern und es Angreifern erschweren, die Zugangsdaten zu kompromittieren.
Mit der heutigen Rechenleistung können Angreifer bis zu 1 Milliarde Passwörter pro Sekunde zu testen bei einem Brute-Force-Angriff, Passwortsicherheit unerlässlich.
3. Fernzugriff kann Angreifern Möglichkeiten bieten, sich unbefugten Zugang zu verschaffen
Fügen wir der Diskussion noch den Fernzugriff hinzu, denn Brute-Force-Angriffe sind nur ein Mittel, um sich unbefugten Zugang zu verschaffen; die eigentliche Schwachstelle liegt darin, wie Ihre hybriden Mitarbeiter mit den Unternehmensressourcen umgehen.
Einige Unternehmen verlassen sich immer noch (immer noch!) auf RDP (das Protokoll, das nicht den schrecklichen Cybersicherheitstod sterben wird, den es verdient!). Ein kürzlich veröffentlichter Bericht hat gezeigt, dass Cyberkriminelle RDP in 90 % der analysierten Vorfälle missbraucht haben, was es zu einem wichtigen Vektor für Ransomware-Angriffe macht. Selbst wenn Sie RDP nicht verwenden, können auch andere Fernzugriffsanwendungen ein erhebliches Risiko darstellen – 16 % der Datenschutzverletzungen begannen mit der Kompromittierung von RDP oder einer anderen Fernzugriffsanwendung.
Das bedeutet, dass jede Methode des Fernzugriffs ein Angriffsvektor für Cyberkriminelle ist. Da 50 % der Unternehmen die Risiken des Fernzugriffs als nicht sehr effektiv einschätzen, müssen Sie unbedingt stärkere Authentifizierungsmaßnahmen einführen, die über die Verwendung eines einfachen Passworts hinausgehen, um den Fernzugriff wirksam zu schützen.
Bewährte Praktiken zur Vorbeugung von Brute-Force-Angriffen
Die Verhinderung von Brute-Force-Angriffen erfordert einen mehrschichtigen Ansatz, der strenge Richtlinien, technische Sicherheitsvorkehrungen und Benutzerschulung kombiniert. Die Multi-Faktor-Authentifizierung (MFA) ist zwar die Grundlage der Verteidigung. Sie implementiert umfassende Strategien, um eine aktivere Sicherheitshaltung zu gewährleisten. Hier erfahren Sie, wie Sie Brute-Force-Angriffen einen Schritt voraus sein können:
Zuverlässige Passwortrichtlinien einrichten
Starke Passwortrichtlinien sind die Grundlage jeder Strategie zur Verhinderung von Brute Force. Stellen Sie sicher, dass sich alle Benutzer an diese bewährten Verfahren halten:
Länge und Komplexität: Verlangen Sie, dass Passwörter mindestens 12 Zeichen lang sind und eine Mischung aus Groß- und Kleinbuchstaben, Zahlen und Sonderzeichen enthalten.
Regelmäßige Updates: Setzen Sie Richtlinien zum Ablauf von Passwörtern durch, um das Zeitfenster für Angreifer zu begrenzen.
Vermeiden Sie Wiederverwendung: Implementieren Sie Systeme, die verhindern, dass Benutzer alte Passwörter wiederverwenden.
Verbieten Sie gängige Passwörter: Verwenden Sie Tools, um schwache oder leicht zu erratende Passwörter wie “123456” oder “password” zu sperren.
Implementierung von Tools zur Sicherheitsüberwachung
Echtzeit-Überwachung und -Warnungen können helfen, Brute-Force-Angriffe zu erkennen und darauf zu reagieren, bevor sie erfolgreich sind. Erwägen Sie den Einsatz der folgenden Tools:
Systeme zur Erkennung und Verhinderung von Eindringlingen (IDPS): Tools wie Snort oder Suricata können ungewöhnliche Anmeldeversuche erkennen und verdächtige Aktivitäten blockieren.
SIEM-Lösungen: Sicherheitsinformations- und Ereignisverwaltungssysteme (SIEM) wie Splunk oder LogRhythm zentralisieren Protokolldaten und bieten Einblicke in potenzielle Brute-Force-Aktivitäten.
Schwellenwerte für die Kontosperrung: Konfigurieren Sie Systeme so, dass sie Konten nach einer bestimmten Anzahl von fehlgeschlagenen Anmeldeversuchen vorübergehend sperren.
Informieren Sie Ihre Mitarbeiter über Sicherheitspraktiken
Menschliches Versagen ist eine häufige Schwachstelle, die Angreifer ausnutzen. Fortlaufende Schulungen stellen sicher, dass die Mitarbeiter in der Lage sind, Risiken zu erkennen und zu minimieren:
Phishing-Bewusstsein: Schulen Sie Ihre Mitarbeiter darin, Phishing-Versuche zu erkennen, die Brute-Force-Angriffen vorausgehen können.
Passwort-Hygiene: Weisen Sie darauf hin, wie wichtig eindeutige, sichere Passwörter sowohl für berufliche als auch für private Konten sind.
Meldeprotokolle: Ermutigen Sie Ihre Mitarbeiter, verdächtige Anmeldeversuche oder verdächtiges Systemverhalten umgehend zu melden.
Technische Konfigurationen ausnutzen
Technische Sicherheitsvorkehrungen können es Angreifern erheblich erschweren, Brute-Force-Angriffe auszuführen. Implementieren Sie diese Maßnahmen:
Ratenbegrenzung: Verlangsamen oder blockieren Sie IPs nach einer Reihe von fehlgeschlagenen Anmeldeversuchen.
CAPTCHA-Integration: Fügen Sie CAPTCHA-Herausforderungen zu Anmeldeseiten hinzu, um automatische Anmeldeversuche zu verhindern.
IP Whitelisting: Beschränken Sie den Login-Zugang auf bestimmte IP-Bereiche, insbesondere für sensible Systeme.
Verschlüsseln Sie Passwörter: Verwenden Sie starke Verschlüsselungsalgorithmen wie z.B. Argon2 für die Speicherung korrekter Passwort-Hashes.
Fernzugriff jenseits des Passworts
Brute-Force-Angriffe stellen nach wie vor ein erhebliches Risiko dar, aber ein proaktiver Ansatz und Präventionsstrategien können ihre Auswirkungen drastisch reduzieren. Durch die Implementierung einer Multi-Faktor-Authentifizierung (MFA), die Durchsetzung strenger Passwortrichtlinien und den Einsatz fortschrittlicher Sicherheitstools können Unternehmen eine robuste Verteidigung gegen unbefugten Zugriff aufbauen.
Selbst wenn Ihr Unternehmen auf ältere oder anfälligere Fernzugriffsmethoden wie RDP zurückgreift, ist die Forderung nach MFA für alle Anmeldungen ein wichtiger erster Schritt. Neben MFA können Strategien wie die Verwendung hoher Verschlüsselungsraten, das Salzen von Passwort-Hashes, das Festlegen von Limits für Anmeldeversuche und die Verwendung von CAPTCHA-Herausforderungen nach wiederholten Fehlversuchen Brute-Force-Angriffe vereiteln, bevor sie erfolgreich sind.
Es ist auch wichtig, die Mitarbeiter zu schulen, verdächtige Aktivitäten zu überwachen und Tools wie Intrusion Detection Systeme einzusetzen, um potenzielle Bedrohungen in Echtzeit zu erkennen. Das Ziel ist nicht nur, auf Angriffe zu reagieren, sondern sie zu verhindern.
Für diejenigen, die diesen Artikel bis zum Ende gelesen haben, ist die Erkenntnis klar: Brute-Force-Angriffe können durch gezielte, mehrschichtige Sicherheitsmaßnahmen abgewehrt werden. Beginnen Sie mit MFA – es ist eine der einfachsten und zugleich effektivsten Möglichkeiten, den Fernzugriff zu sichern und Ihr Unternehmen zu schützen. Warten Sie nicht damit, Ihre Verteidigung zu stärken; die Zeit zum Handeln ist jetzt gekommen.
