Der E-Root-Vorfall: Die Bedeutung der Sicherung von RDP- und SSH-Konten

Publiziert am November 22, 2023

Eine der bemerkenswertesten Veränderungen in der Cyberkriminalität seit Beginn des 21. Jahrhunderts war die Reifung der illegalen Branche von einzelnen Hackern zu voll profitablen Unternehmen. E-Root, ein globaler illegaler Marktplatz, wurde 2020 von den Strafverfolgungsbehörden heruntergenommen, machte aber kürzlich die Nachricht, da sein Administrator wegen des Verkaufs gestohlener Remote Desktop Protocol (RDP)- und Secure Shell (SSH)-Konten 20 Jahre Gefängnis droht.

E-Root hat sich darauf spezialisiert, den Verkauf verschiedener digitaler Güter zu erleichtern, einschließlich gestohlener Anmeldeinformationen und Zugriff auf kompromittierte Server. Käufer erhielten gefilterte Suchtools, um mit Kriterien wie ISP, Betriebssystem, RDP- oder SSH-Zugriff und mehr im Marktplatz zu navigieren. Die Cyberkriminelle Organisation operierte über ein weit verteiltes Netzwerk, um die Widerstandsfähigkeit und Umgehung zu verbessern, und umfasste Schutzmaßnahmen, um die echten Identitäten von Anbietern, Käufern und Administratoren zu maskieren.

Dieser Vorfall erinnert stark daran, wie wichtig es ist, den privilegierten Zugriff zu schützen, um Datenschutzverletzungen zu verhindern, da sich Cyberbedrohungen weiter entwickeln und zunehmen.

Remote-Desktop-Protokoll

RDP ist ein Netzwerkkommunikationsprotokoll, mit dem Benutzer eine Remote-Verbindung mit den lokalen Computern eines Unternehmens über das Windows-Betriebssystem herstellen können. Es wird auch häufig von IT-Teams verwendet, um Serverwartung und andere Aufgaben aus der Ferne durchzuführen.

RDP funktioniert wie ein Infrastrukturgeheimnis, das Menschen verwenden – in der Regel IT-Administratoren und DevOps-Mitarbeiter –, obwohl manchmal normale Endbenutzer RDP verwenden, um aus der Ferne auf Dateien zuzugreifen.

Während RDP ein wertvolles Werkzeug für die Remote-Administration ist, stellt es ein erhebliches Sicherheitsrisiko dar, wenn es von Cyberkriminellen ausgenutzt wird. Seit Jahren sind kompromittierte RDP-Passwörter der häufigste Angriffsvektor für Ransomware-Infektionen.

Ransomware-Angriffe sind nicht die einzige schlechte Sache, die passieren kann, wenn ein RDP-Passwort kompromittiert wird. Sobald ein Bedrohungsakteur RDP verletzt hat, kann er Software-Tools und Befehlszeilen-Skripting verwenden, um weitere Anmeldeinformationen zu finden und zu stehlen, sich durch das Netzwerk des Unternehmens zu schlängeln und auf seine Dateien zuzugreifen. Er kann diese Dateien stehlen, löschen, ändern oder tun, was er will.

Secure Shell

SSH ist ein kryptografisches Netzwerkprotokoll, das für die sichere Datenkommunikation, die Remote-Befehlszeilenanmeldung und andere sichere Netzwerkdienste zwischen zwei vernetzten Computern verwendet wird. SSH-Schlüssel und andere Anmeldeinformationen für Verbindungen sind wichtige Ressourcen für DevOps- und DevSecOps-Teams, die weit verbreitet für den sicheren Zugriff auf Server verwendet werden.

Die sichere Verwendung von SSH-Schlüsseln und anderen Anmeldeinformationen ist eine Herausforderung. Die Übertragung von Schlüsseln über ein Netzwerk oder zwischen Benutzern birgt ein Risiko.

Infolgedessen können kompromittierte SSH-Konten ausgenutzt werden, um unbefugte Kontrolle über die Server und sensible Daten eines Unternehmens zu erhalten.

Wenn die einzige Möglichkeit, RDP- und SSH-Konten über unsichere Remote-Verbindungen zu stehlen, ist, gibt es eine effektive Möglichkeit, dies zu verhindern?

Maßnahmen ergreifen, um RDP- und SSH-Konten vor dem Enden im Darknet zu schützen

Unternehmen verlassen sich stark auf RDP und SSH für einen nahtlosen Betrieb, was sie zu bevorzugten Zielen für Cyberkriminelle macht. Gestohlene Konten enden oft auf Darknet-Marktplätzen wie E-Root.

Während die Entfernung von E-Root eine positive Entwicklung war, bleiben viele andere illegale Marktplätze bestehen, was die anhaltende Bedrohung unterstreicht. Um SSH- und RDP-Anmeldeinformationen vor Diebstahl und Missbrauch zu schützen, sollten Unternehmen die folgenden proaktiven Schritte unternehmen:

Sichere privilegierte Konten: Implementieren Sie robuste Maßnahmen für die Definition, Verwaltung und Sicherung von Konten mit erhöhtem Zugriff auf IT-Systeme. Dies beinhaltet die Speicherung von Passwörtern und Geheimnissen in einem sicheren Tresor zusammen mit rollenbasierten Zugriffskontrollen, um sensible Anmeldeinformationen nur auf die Personen zu beschränken, die absolut auf sie zugreifen müssen.
Durchsetzen des Prinzips der geringsten Rechte: Beschränken Sie Zugriffsrechte für Benutzer, Anwendungen und Systeme, indem Sie nur die Mindestzugriffsebenen gewähren, die für die Erfüllung ihrer erforderlichen Aufgaben erforderlich sind. Mit dem geringsten Recht können Unternehmen das Risiko eines unbefugten Zugriffs und eines potenziellen Missbrauchs mindern.
Rotation von Anmeldeinformationen: Rotieren Sie regelmäßig Anmeldeinformationen, um die Sicherheitsbedrohungen zu reduzieren, die mit Mitarbeiterkündigungen, Datenschutzverletzungen, Darknet-Offenlegung und mehr verbunden sind. Diese Praxis erhöht die Sicherheit, indem sie das Zeitfenster für bösartige Akteure minimiert, kompromittierte Anmeldeinformationen auszunutzen.
Verwalten Sie privilegierte Sitzungen: Stellen Sie sicher, dass auf eine kritische Infrastruktur über die Sitzungsverwaltung privilegierter Konten zugegriffen wird. Alle Sitzungen sollten sicher sein, und Anmeldeinformationen müssen vor den Endbenutzern verborgen bleiben, um unbefugten Zugriff zu verhindern.

Keeper® ist die beste Option, um RDP- und SSH-Konten zu schützen

Die Privileged Access Management (PAM)-Lösung von Keeper Security ist eine Plattform der nächsten Generation, um unbefugten Zugriff auf kritische Systeme und Daten zu verhindern. KeeperPAM™ schützt alle Ihre RDP- und SSH-Konten, digitalen Zertifikate und andere sensible Verbindungstoken. Die Zero-Trust- und Zero-Knowledge-Architektur von Keeper bedeutet, dass Ihre Geheimnisse, Anmeldeinformationen und Remote-Verbindungen nur für autorisierte Personen zugänglich sind.

Keeper Secrets Manager (KSM) ermöglicht es DevOps- und DevSecOps-Teams, dynamischen programmatischen Zugriff auf ihre Geheimnisse und Anmeldeinformationen in ihren Systemen zu erstellen, ohne neue Hardware oder Agentensoftware beschaffen und installieren zu müssen. KSM arbeitet in der Cloud mit vorkonfigurierten Verbindungen für die erstklassigen Tools der Branche. Dies erleichtert eine nahtlose Integration von KSM in den aktuellen Technologie-Stack eines Unternehmens, wodurch zusätzliche Appliances überflüssig werden, während die Zero-Knowledge-Zero-Trust-Architektur von Keeper für das höchste Sicherheitsniveau bereitgestellt wird.

Keeper Connection Manager (KCM) bietet IT- und DevOps-Mitarbeitern einfachen und sicheren Zugriff auf RDP, SSH, Datenbanken und Kubernetes-Endpunkte, ohne dass ein VPN erforderlich ist. Mit KCM gibt es keine Agenten – Ihr Webbrowser ist der Client und es gibt keine Auswirkungen auf Ihre Domänencontroller oder andere Dienste. Benutzer können nur auf Verbindungen zugreifen, die ihr Administrator ihnen explizit mit granularen Zugriffskontrollen gewährt hat.

Keeper Enterprise Password Manager (EPM) bietet IT-Teams vollständige Transparenz und Kontrolle über die Passwortgewohnheiten ihrer Benutzer. Jeder Benutzer wird mit einem sicheren digitalen Tresor bereitgestellt, um Anmeldeinformationen, Passschlüssel, sensible Dateien und mehr zu speichern und zu teilen. Keeper lässt sich auch in SSO und passwortlose Anbieter integrieren, für ein passwortloses End-to-End-Authentifizierungserlebnis.

Fordern Sie noch heute eine Demo von Keeper an, um Ihr Unternehmen zu schützen.

Adrien Julienne

Von Adrien Julienne

Adrien is the B2B Marketing Campaigns Manager for Keeper Security and contributing writer with over 12 years of experience in the technology industry with a focus on SaaS. Adrien now leads Keeper’s marketing efforts to raise awareness about Keeper as a leader in cybersecurity in its mission to unify critical components of Identity and Access Management and enable zero-trust transformation.