RDP-Passwortangriffe nehmen während der COVID-19-Pandemie zu

Während ihres Betrugs versuchen Cyberkriminelle oft, die Opfer dazu zu bringen, zu glauben, dass es einen Notfall gibt, der schnell angegangen werden muss. Auf diese Weise haben die Ziele viel eher Eile zu handeln, und wenn sie es eilig haben, machen sie viel häufiger Fehler. Manchmal müssen die Kriminellen diese Notfälle jedoch nicht schaffen. Manchmal werden die Notfälle durch äußere Faktoren verursacht, und die Gauner müssen nur die daraus resultierenden Fehler ausnutzen. Letzte Woche gab uns ESET ein hervorragendes Beispiel dafür, wie globale Ereignisse die richtige Umgebung für Cyberangriffe schaffen können.

Vor einigen Monaten erklärten Länder auf der ganzen Welt wegen des COVID-19-Ausbruchs den Ausnahmezustand, und Hunderttausenden von Arbeitnehmern wurde gesagt, sie sollten von zu Hause aus arbeiten. Für viele bedeutete dies die Verwendung eigener Computer und Geräte, sie benötigten jedoch weiterhin Zugriff auf vertrauliche Unternehmensnetzwerke und -daten. Um Ausfallzeiten zu vermeiden, mussten die Setups in Eile durchgeführt werden, und vorhersehbar ging hier etwas schief.

Schlechte RDP-Setups führen zu einem Anstieg der Anzahl der Angriffe

RDP steht für Remote Desktop Protocol und ist, wie der Name schon sagt, eine der Möglichkeiten, eine Remoteverbindung zwischen zwei Geräten herzustellen. Der Ausbruch des Coronavirus führte zu einem Anstieg der Nutzung, was wiederum zu deutlich mehr Cyberangriffen auf die RDP-Verbindungen der Mitarbeiter führte. Laut der Telemetrie von ESET lag die Zahl der RDP-Angriffe Ende Januar, etwa anderthalb Monate bevor die Weltgesundheitsorganisation den Ausbruch des Coronavirus als Pandemie deklarierte, bei rund 40.000 pro Tag. Im Mai hingegen verzeichnete ESET etwa anderthalb Monate nach der Aufforderung, zu Hause zu bleiben, einen Höchststand von 100.000 täglichen Angriffen.

Schwache Passwörter und unsichere Netzwerkkonfigurationen machen RDP-Verbindungen leicht ausnutzbar

RDP-Angriffe sind nicht neu. Das Protokoll selbst gibt es schon seit Ewigkeiten, und Hacker nutzen es schon seit einiger Zeit. Das Alter ist hier jedoch nicht das Problem.

RDP-Verbindungen können so konfiguriert werden, dass sie sicher sind, aber die große Anzahl von Angriffen, die wir jeden Tag sehen, zeigt, dass die Leute es einfach nicht tun. Die COVID-19-Pandemie könnte der Grund für den aktuellen Anstieg sein, aber die Angriffe selbst wären ohne die Konfigurationsfehler der Menschen unmöglich gewesen.

Das größte Problem ist die Passwortverwaltung. Die meisten Angriffe auf Protokolle wie RDP und SMB basieren auf Brute-Force-Techniken, um die Anmeldeinformationen zu erraten, die die Remote-Sitzung ermöglichen, und die Tatsache, dass die Gauner sie nach all den Jahren immer noch verwenden, zeigt, dass die Benutzer weiterhin vertrauliche Unternehmensdaten mit Leichtigkeit schützen -Kennwörter knacken. Natürlich wäre es noch besser, wenn sich die Gauner überhaupt nicht anmelden könnten, und es gibt Tools, die dies ebenfalls sicherstellen können. Es scheint jedoch, dass Systemadministratoren sie nicht implementiert haben, und wenn es um die derzeit exponierten Netzwerke geht, ist zumindest ein Teil des Grundes der Druck, unter dem sie standen, die Büros schnell zu schließen, als die Sperrung angekündigt wurde .

RDP-Angriffe können zu Ransomware-Ausbrüchen bis hin zu Cryptojacking-Kampagnen führen

Die Folgen schlecht konfigurierter RDP-Verbindungen können ziemlich katastrophal sein. Nachdem sie ein Passwort erraten und sich angemeldet haben, können die Hacker relativ einfach Administratorrechte erlangen, was bedeutet, dass sie so ziemlich alles tun können, was sie wollen. Ransomware-Betreiber verwenden RDP seit Jahren, um die Daten von Unternehmen und Organisationen zu sperren, und in letzter Zeit haben sie den Zugriff genutzt, um auch wertvolle Informationen zu stehlen . Hacker, die stillere Angriffe bevorzugen, können sich auch an anderen kriminellen Aktivitäten wie Cryptojacking beteiligen.

Alles in allem ist RDP ein sehr leistungsfähiger Angriffsvektor, und Systemadministratoren müssen seine Sicherheit ernst nehmen. Wenn ihre Organisation RDP verwenden muss, sollte sie die Firewall so konfigurieren, dass externe Verbindungen zu den Ports des Protokolls nicht zulässig sind. Im Idealfall wird sie hinter einem VPN-Gateway ausgeblendet. Systemadministratoren müssen genau wissen, wer das Protokoll verwenden wird, und sie müssen sicherstellen, dass alle Benutzer eindeutige, sichere Kennwörter sowie eine Zwei-Faktor-Authentifizierung verwenden.