Blog

Offene Türen für Cyberkriminelle: Wie unsichere Ports Ihr Unternehmen bedrohen

/ Kategorie: Threat Intelligence

Ransomware infiltriert Systeme nicht nur durch Social Engineering und Phishing-Angriffe, sondern kann auch über ungeschützte Ports Zugang finden. Analysen im Bereich der Cybersicherheit zeigen, dass dabei bestimmte Netzwerkports wiederholt das Ziel von Ransomware-Attacken sind. Diese Ports dienen oft als Schwachstellen, die Angreifer ausnutzen, um in Unternehmensnetzwerke einzudringen und Schaden zu verursachen. Insbesondere vier Ports stehen dabei häufig im Fokus.

Ransomware-Angriffe nehmen eine besonders prominente Rolle bei den Cyberbedrohungen ein. Analysen im Bereich der Cybersicherheit zeigen, dass bestimmte Netzwerkports wiederholt zum Ziel von Ransomware-Attacken werden. Diese Ports sind oftmals die Schwachstellen, die Angreifer ausnutzen, um in Unternehmensnetzwerke einzudringen und Schaden anzurichten. Speziell diese vier Ports geraten besonders häufig ins Visier von Ransomware-Angreifern:

  1. Remote Desktop Protocol (RDP) – Port 3389:
    RDP-Ports spielen eine zentrale Rolle bei Cyberattacken. Die Angriffsmethode ist dabei meist ein Brute-Force-Angriff, bei dem Angreifer das gesamte Internet nach offenen RDP-Ports durchsuchen und versuchen, über schwache Passwörter Zugang zu erhalten.
     
  2. Secure-Shell-Protokoll (SSH) – Port 22:
    SSH ermöglicht einen sicheren Fernzugriff auf Computer über unsichere Netzwerke. Dieser Port wird häufig für Brute-Force-Angriffe genutzt, wobei Angreifer versuchen, durch Ausprobieren von Passwörtern Zugang zu erlangen. Ein besonderes Risiko stellt hierbei der oft standardmässig aktivierte Root-Zugang dar, der es Hackern ermöglichen kann, ihre Privilegien im Netzwerk zu erweitern. Um dies zu verhindern, ist es wichtig, die Root-Anmeldung zu deaktivieren, SSH 2 zu verwenden und eventuell den Standardport zu ändern. Zusätzlich sollte die Zwei-Faktor-Authentifizierung aktiviert werden, um die Sicherheit weiter zu erhöhen.
     
  3. Server-Message-Block-Protokoll (SMB) – Port 445:
    SMB wird hauptsächlich für die Dateifreigabe innerhalb von Netzwerken verwendet und wurde insbesondere durch seine Rolle in der WannaCry-Ransomware-Epidemie bekannt. Dieser Port bleibt oft offen, um Kommunikation, beispielsweise mit Druckern, zu ermöglichen, was von Hackern ausgenutzt werden kann. Um sich zu schützen, ist es ratsam, den gesamten eingehenden Verkehr über Port 445 zu blockieren oder zumindest das Netzwerk zu segmentieren und den meisten internen eingehenden Datenverkehr zu blockieren.
     
  4. NetBios – Port 139:
    Port 139, ein weiterer SMB-Port, wird überwiegend in Windows-Systemen genutzt. Er wurde in Ransomware-Varianten wie WannaCry, Ryuk und NotPetya eingesetzt. Die Sicherungsstrategien für Port 139 ähneln denen für Port 445 – idealerweise sollte der Port vollständig geschlossen werden. Ist der Port unverzichtbar, kann ein MAC-Adressfilter helfen, den Datenverkehr zu kontrollieren. Wichtig ist dabei, den Filter stets aktuell zu halten.

Verteidigungsstrategien gegen Ransomware-Angriffe

Angesichts der wachsenden Bedrohung durch Ransomware-Angriffe ist eine umfassende und durchdachte Verteidigungsstrategie für Unternehmen unerlässlich. Besonderes Augenmerk sollte dabei auf die sorgfältige Konfiguration und Absicherung der Netzwerkports gelegt werden. Hierbei ist es unumgänglich, nicht benötigte Ports konsequent zu schliessen, um mögliche Angriffspunkte zu minimieren. Die Implementierung von Whitelists, die ausschliesslich autorisierten Verbindungen Zugriff gewähren, erhöht die Sicherheit signifikant. Zudem sind Ratenbegrenzungen ein wirksames Mittel, um Brute-Force-Angriffe zu erschweren, indem sie die Anzahl der Anmeldeversuche innerhalb eines bestimmten Zeitraums limitieren.

Darüber hinaus spielt die Zwei-Faktor-Authentifizierung eine entscheidende Rolle, da sie eine zusätzliche Sicherheitsebene darstellt und die Abhängigkeit von reinen Passwort-basierten Sicherheitssystemen reduziert. Die Verwendung starker, einzigartiger Passwörter für jeden Zugangspunkt im Netzwerk ist ebenfalls unerlässlich, um die Integrität der Sicherheitsarchitektur zu gewährleisten.

Neben diesen spezifischen Massnahmen zur Port-Sicherheit ist die Netzwerksegmentierung ein weiterer wichtiger Baustein in der Abwehr von Ransomware-Angriffen. Durch die Aufteilung des Netzwerks in kleinere, isolierte Segmente können Unternehmen die Ausbreitung von Ransomware begrenzen und sicherstellen, dass ein Angriff auf einen Teil des Netzwerks nicht das gesamte System lahmlegt. Die kontinuierliche Überwachung des Netzwerks ist ebenfalls von grosser Bedeutung, um ungewöhnliche Aktivitäten frühzeitig zu erkennen und entsprechend zu isolieren.

Best Practices für Cybersicherheit

Neben der spezifischen Absicherung von Ransomware Ports ist es unerlässlich, auch allgemeine Cybersicherheitspraktiken zu implementieren, um ein umfassendes Sicherheitsniveau zu erreichen. Diese Best Practices umfassen mehrere Schlüsselbereiche:

  • Anwendung des Prinzips der geringsten Berechtigung
    Dieses Prinzip besagt, dass jedem Benutzer und jeder Software nur die minimal notwendigen Rechte gewährt werden sollten, die zur Erfüllung ihrer Aufgaben erforderlich sind. Dies reduziert das Risiko, dass ein Angreifer im Falle eines Sicherheitsvorfalls weitreichende Berechtigungen erhält und so grösseren Schaden anrichten kann. Die konsequente Anwendung dieses Prinzips erfordert eine regelmässige Überprüfung und Anpassung der Benutzerrechte und -rollen.
     
  • Sicherheitsüberlegungen für PowerShell und Remote Access-Software
    PowerShell ist ein mächtiges Werkzeug für die Verwaltung und Automatisierung von Aufgaben in Windows-Umgebungen, kann aber auch von Angreifern missbraucht werden. Es ist daher wichtig, die Nutzung von PowerShell streng zu kontrollieren und auf diejenigen Benutzer zu beschränken, die sie für ihre Arbeit benötigen. Ebenso sollten die aktuellste Version von PowerShell verwendet und ältere Versionen deinstalliert werden, um Sicherheitslücken zu schliessen. Bei der Verwendung von Remote Access-Software sollte ähnlich vorgegangen werden: Nur autorisierte Benutzer sollten Zugriff haben, und die Software sollte stets auf dem neuesten Stand gehalten werden.
     
  • Regelmässige Software-Updates und effektives Patch-Management
    Viele Cyberangriffe nutzen bekannte Sicherheitslücken in Software, die durch regelmässige Updates und Patches geschlossen werden könnten. Ein effektives Patch-Management-System stellt sicher, dass alle genutzten Programme und Betriebssysteme aktuell sind und Sicherheitslücken schnell geschlossen werden. Dies beinhaltet nicht nur die Hauptsoftware, sondern auch alle Plugins und Drittanbieteranwendungen. Es ist wichtig, einen regelmässigen Zeitplan für Updates zu etablieren und diesen konsequent zu verfolgen.

Diese Best Practices bilden die Grundlage für eine robuste Cybersicherheitsstrategie. Sie helfen dabei, Schwachstellen zu minimieren und bieten einen mehrschichtigen Schutz gegen eine Vielzahl von Cyberbedrohungen. Indem Sie diese Richtlinien befolgen, stärken sie ihre Abwehr gegen Ransomware-Angriffe und verbessern gleichzeitig ihre allgemeine IT-Sicherheitslage.

Zusammen. Sicher. 

Die Absicherung gegen Ransomware-Angriffe erfordert eine kontinuierliche Beobachtung der Bedrohungslage und eine ganzheitliche Cybersicherheitsstrategie. Beginnen Sie heute damit, Ihre Ports zu überprüfen und zu sichern. Für eine detaillierte Beratung und Unterstützung bei der Implementierung einer robusten Cybersicherheitsstrategie kontaktieren Sie uns bei ISPIN. 

Cyberexperte jetzt kontaktieren

 

Sie haben einen Security-Notfall und brauchen Hilfe? Unser Incident Response Team ist 7x24 für Sie da.  

Incident melden!
Kategorien:
Cybersecurity (21)
CISO (21)
Governance, Risk & Compliance (5)
Security Awareness (13)
Cloud Security (21)
Detect & Response (24)
Endpoint & Networks (8)
IoT / OT / kritische Infrastrukturen (4)
Identity & Access (1)
ISPIN Viewpoint (10)
Threat Intelligence (18)