Οι επιθέσεις κωδικού πρόσβασης RDP αυξάνονται κατά τη διάρκεια της πανδημίας COVID-19

Κατά τη διάρκεια των απάτων τους, οι εγκληματίες στον κυβερνοχώρο προσπαθούν συχνά να εξαπατήσουν τα θύματα να πιστεύουν ότι υπάρχει μια κατάσταση έκτακτης ανάγκης που πρέπει να αντιμετωπιστεί γρήγορα. Κάνοντας αυτό, οι στόχοι είναι πολύ πιο πιθανό να βιάζονται να δράσουν και όταν βιάζονται, είναι πολύ πιο πιθανό να κάνουν λάθη. Μερικές φορές, ωστόσο, οι εγκληματίες δεν χρειάζεται να δημιουργήσουν αυτές τις καταστάσεις έκτακτης ανάγκης. Μερικές φορές, οι καταστάσεις έκτακτης ανάγκης προκαλούνται από εξωτερικούς παράγοντες, και όλοι οι απατεώνες πρέπει να κάνουν είναι να επωφεληθούν από τα προκύπτοντα σφάλματα. Την περασμένη εβδομάδα, η ESET μας έδωσε ένα λαμπρό παράδειγμα για το πώς τα παγκόσμια γεγονότα μπορούν να δημιουργήσουν το κατάλληλο περιβάλλον για κυβερνοεπιθέσεις.

Πριν από λίγους μήνες, χώρες σε όλο τον κόσμο κήρυξαν κατάσταση έκτακτης ανάγκης λόγω της επιδημίας COVID-19 και εκατοντάδες χιλιάδες εργαζόμενοι ενημερώθηκαν ότι πρέπει να εργαστούν από το σπίτι. Για πολλούς, αυτό σήμαινε τη χρήση των δικών τους υπολογιστών και συσκευών, αλλά χρειάζονταν ακόμη πρόσβαση σε ευαίσθητα εταιρικά δίκτυα και δεδομένα. Για να αποφευχθεί ο χρόνος διακοπής λειτουργίας, οι ρυθμίσεις έπρεπε να γίνουν βιαστικά, και προβλέψιμα, εκεί ήταν που πήγαν στραβά.

Οι κακές ρυθμίσεις RDP οδηγούν σε αύξηση του αριθμού των επιθέσεων

Το RDP σημαίνει πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας και όπως υποδηλώνει το όνομά του, είναι ένας από τους τρόπους με τους οποίους μπορείτε να ρυθμίσετε μια απομακρυσμένη σύνδεση μεταξύ δύο συσκευών. Το ξέσπασμα του coronavirus οδήγησε σε αύξηση της χρήσης του, το οποίο, με τη σειρά του, είχε ως αποτέλεσμα πολύ περισσότερες κυβερνοεπιθέσεις με στόχο τις συνδέσεις RDP των εργαζομένων. Στην πραγματικότητα, σύμφωνα με την τηλεμετρία της ESET, στα τέλη Ιανουαρίου, περίπου ενάμιση μήνα προτού η Παγκόσμια Οργάνωση Υγείας κηρύξει το ξέσπασμα του κοροναϊού πανδημία, ο αριθμός των επιθέσεων RDP κυμαινόταν περίπου 40 χιλιάδες την ημέρα. Αντίθετα, τον Μάιο, περίπου ενάμισι μήνα μετά την ενημέρωση των ανθρώπων να μείνουν στο σπίτι, η ESET σημείωσε ένα μέγιστο 100 χιλιάδων καθημερινών επιθέσεων.

Οι αδύναμοι κωδικοί πρόσβασης και οι ανασφαλείς διαμορφώσεις δικτύου καθιστούν τις συνδέσεις RDP εύκολα εκμεταλλεύσιμες

Οι επιθέσεις RDP δεν είναι νέες. Το ίδιο το πρωτόκολλο υπάρχει εδώ και αιώνες και οι χάκερ το εκμεταλλεύονται εδώ και λίγο καιρό. Ωστόσο, η ηλικία δεν είναι το πρόβλημα εδώ.

Οι συνδέσεις RDP μπορούν να ρυθμιστούν ώστε να είναι ασφαλείς, αλλά ο μεγάλος αριθμός επιθέσεων που βλέπουμε καθημερινά αποδεικνύει ότι οι άνθρωποι απλά δεν το κάνουν. Η πανδημία COVID-19 μπορεί να είναι ο λόγος για την τρέχουσα ακίδα, αλλά οι ίδιες οι επιθέσεις θα ήταν αδύνατες αν δεν ήταν για λάθη διαμόρφωσης των ανθρώπων.

Το μεγαλύτερο πρόβλημα είναι η διαχείριση κωδικών πρόσβασης. Οι περισσότερες επιθέσεις σε πρωτόκολλα όπως το RDP και το SMB βασίζονται σε τεχνικές brute-force για να μαντέψουν τα διαπιστευτήρια σύνδεσης που επιτρέπουν την απομακρυσμένη συνεδρία και το γεγονός ότι οι απατεώνες εξακολουθούν να τα χρησιμοποιούν μετά από τόσα χρόνια αποδεικνύει ότι οι άνθρωποι εξακολουθούν να προστατεύουν ευαίσθητα εταιρικά δεδομένα με εύκολο -για να σπάσει τους κωδικούς πρόσβασης. Φυσικά, θα ήταν ακόμη καλύτερο εάν οι απατεώνες δεν έχουν καθόλου τρόπο να συνδεθούν και υπάρχουν εργαλεία που μπορούν να το διασφαλίσουν επίσης. Φαίνεται, ωστόσο, ότι οι διαχειριστές συστήματος δεν κατάφεραν να τα εφαρμόσουν, και όταν πρόκειται για τα εκτεθειμένα δίκτυα, τουλάχιστον ένα μέρος του λόγου γι 'αυτό είναι η πίεση που δέχτηκαν να κλείσουν γρήγορα τα γραφεία όταν ανακοινώθηκε το κλείδωμα .

Οι επιθέσεις RDP μπορούν να οδηγήσουν σε οτιδήποτε, από εκρήξεις ransomware έως εκστρατείες κρυπτονομισμάτων

Οι συνέπειες των κακώς διαμορφωμένων συνδέσεων RDP θα μπορούσαν να είναι αρκετά καταστροφικές. Αφού μαντέψουν έναν κωδικό πρόσβασης και συνδεθούν, οι χάκερ μπορούν να αποκτήσουν δικαιώματα διαχειριστή με σχετική ευκολία, πράγμα που σημαίνει ότι μπορούν να κάνουν σχεδόν ό, τι θέλουν. Οι χειριστές Ransomware χρησιμοποιούν RDP για να κλειδώσουν τα δεδομένα των επιχειρήσεων και των οργανισμών εδώ και χρόνια, και πρόσφατα, έχουν χρησιμοποιήσει την πρόσβαση που έχουν για να κλέψουν πολύτιμες πληροφορίες επίσης. Οι χάκερ που προτιμούν πιο σιωπηλές επιθέσεις μπορούν επίσης να συμμετάσχουν σε άλλες εγκληματικές δραστηριότητες, όπως κρυπτογράφηση.

Συνολικά, το RDP είναι ένα πολύ ισχυρό φορέα επίθεσης και οι διαχειριστές συστήματος πρέπει να λάβουν σοβαρά υπόψη την ασφάλειά του. Εάν ο οργανισμός τους πρέπει να χρησιμοποιεί RDP, θα πρέπει να διαμορφώσει το τείχος προστασίας ώστε να μην επιτρέπει εξωτερικές συνδέσεις στις θύρες του πρωτοκόλλου και, ιδανικά, θα το κρύψει πίσω από μια πύλη VPN. Τα Sysadmins πρέπει να γνωρίζουν καλά ποιος πρόκειται να χρησιμοποιήσει το πρωτόκολλο και πρέπει να διασφαλίσουν ότι όλοι οι χρήστες χρησιμοποιούν μοναδικούς, ισχυρούς κωδικούς πρόσβασης καθώς και έλεγχο ταυτότητας δύο παραγόντων.