RDP-passwordangreb er på vej under COVID-19-pandemien
Under deres svindel forsøger cyberkriminelle ofte at narre ofrene til at tro, at der er en nødsituation, der skal rettes hurtigt. Ved at gøre dette er det meget mere sandsynligt, at målene har travlt med at handle, og når de har travlt, er de meget mere tilbøjelige til at begå fejl. Undertiden har kriminelle dog ikke brug for at skabe disse nødsituationer. Nogle gange er nødsituationer forårsaget af faktorer udefra, og alle skurkerne skal gøre er at drage fordel af de resulterende fejl. Sidste uge gav ESET os et strålende eksempel på, hvordan globale begivenheder kan skabe det rigtige miljø til cyberangreb.
For et par måneder siden erklærede lande over hele verden en nødsituation på grund af COVID-19-udbruddet, og hundreder af tusinder af arbejdere blev fortalt, at de skulle arbejde hjemmefra. For mange betød dette brug af deres egne computere og enheder, men de havde stadig brug for adgang til følsomme virksomhedsnetværk og data. For at undgå driftsstop skulle opsætningerne ske i en fart, og forudsigeligt var det her ting gik galt.
Table of Contents
Dårlige RDP-opsætninger fører til en stigning i antallet af angreb
RDP står for Remote Desktop Protocol, og som navnet antyder er det en af måderne, hvorpå du kan konfigurere en fjernforbindelse mellem to enheder. Coronavirus-udbruddet førte til en stigning i brugen af det, hvilket igen resulterede i en hel del flere cyberattacks, der var rettet mod medarbejdernes RDP-forbindelser. I henhold til ESETs telemetri i slutningen af januar, cirka halvanden måned før Verdenssundhedsorganisationen erklærede coronavirus-udbruddet som en pandemi, svævede antallet af RDP-angreb omkring 40 tusinde om dagen. I modsætning hertil registrerede ESET i maj, cirka halvanden måned efter, at folk fik at blive hjemme, et højdepunkt på 100.000 daglige angreb.
Svage adgangskoder og usikre netværkskonfigurationer gør RDP-forbindelser let at udnytte
RDP-angreb er ikke nye. Selve protokollen har eksisteret i aldre, og hackere har udnyttet den i et stykke tid. Alder er dog ikke problemet her.
RDP-forbindelser kan konfigureres til at være sikre, men det store antal angreb, vi ser hver dag, beviser, at folk bare ikke gør det. COVID-19-pandemien kan muligvis være årsagen til den aktuelle stigning, men selve angrebene ville have været umulige, hvis det ikke var for folks konfigurationsfejl.
Det største problem er adgangskodestyring. De fleste angreb på protokoller som RDP og SMB er afhængige af brute-force-teknikker til at gætte loginoplysninger, der muliggør fjernsessionen, og det faktum, at skurkerne stadig bruger dem efter alle disse år beviser, at folk stadig beskytter følsomme virksomhedsdata med let -til-knæk adgangskoder. Selvfølgelig ville det være endnu bedre, hvis skurkerne overhovedet ikke har nogen mulighed for at logge ind, og der er værktøjer, der også kan sikre det. Det ser dog ud til, at systemadministratorer har undladt at implementere dem, og når det kommer til de aktuelt eksponerede netværk, er i det mindste en del af årsagen til dette presset, de var under for hurtigt at lukke kontorer, da lockdown blev annonceret .
RDP-angreb kan resultere i alt fra ransomware-udbrud til cryptojacking-kampagner
Konsekvenserne af dårligt konfigurerede RDP-forbindelser kan være temmelig katastrofale. Når de har gætt en adgangskode og logget ind, kan hackerne få administrative privilegier med relativ lethed, hvilket betyder, at de kan gøre stort set alt, hvad de vil. Ransomware-operatører har brugt RDP til at låse data fra virksomheder og organisationer i årevis, og for nylig har de brugt den adgang, de har til at stjæle uvurderlig information. Hackere, der foretrækker mere tavse angreb, kan også deltage i andre kriminelle aktiviteter som kryptering.
Alt i alt er RDP en meget kraftig angrebsvektor, og systemadministratorer skal tage dens sikkerhed alvorligt. Hvis deres organisation er nødt til at bruge RDP, skal de konfigurere firewall til at afvise eksterne forbindelser til protokollens porte, og ideelt set skjuler de den bag en VPN-gateway. Sysadmins skal være opmærksomme på, hvem der skal bruge protokollen, og de skal sørge for, at alle brugere bruger unikke, stærke adgangskoder såvel som tofaktorautentisering.
