Tools und Programme, die auf einem Rechner installiert werden, ohne genutzt zu werden, stellen im Falle eines Hacking-Angriffs ein unn\u00f6tiges Sicherheitsrisiko dar.
\nIm Folgenden beschreibt die Firma Sophos den Ablauf eines realen Hackerangriffs mit der (vergleichsweise unbekannten) Ransomware Midas, der sich von Oktober bis Dezember 2021 in einem Unternehmen abspielte.<\/p>\n
Die betroffene Firma nutzte eine typische IT- und Sicherheitsinfrastruktur<\/span><\/span> mit Windows-Servern, auf denen virtuelle Maschinen liefen. Es existierte eine flache Topologie und alles war via VPN zug\u00e4nglich, also kaum Kontrolle dar\u00fcber, wer auf die Rechner zugreift. Am 13. Oktober, zwei Monate vor dem eigentlichen Angriff, infiltrierten Hacker das System und wurden auf mehreren Computern des internen Netzwerkes aktiv. Tools wie AnyDesk und Teamviewer wurden vorher vom IT-Team auf den Rechnern getestet, jedoch nie entfernt.<\/p>\n
\nEs war kein Zero-Trust-Modell vorhanden, welches die Zugriffe kontrolliert und eingeschr\u00e4nkt h\u00e4tte. Das System war nach au\u00dfen abgeschirmt, aber nicht nach innen.<\/p>\n
\nDabei erstellten sie u. a. Skripte, verschoben Dateien und starteten Remote-Verbindungen, um alles auf den Angriff vorzubereiten. Sie nutzen dabei Tools wie AnyDesk und Teamviewer, die auf allen Computern installiert waren, obwohl sie nie genutzt wurden.
\nDie tats\u00e4chliche Verteilung der Ransomware auf die Netzwerkcomputer fand aber erst am 7. Dezember statt.<\/p>\n