Az RDP jelszó-támadásainak száma egyre növekszik a COVID-19 járvány idején
A csalások során a számítógépes bűnözők gyakran megpróbálják becsapni az áldozatokat arra gondolva, hogy van egy vészhelyzet, amelyet gyorsan meg kell oldani. Ezzel a célok sokkal valószínűbben sietnek cselekedni, és ha sietnek, sokkal nagyobb valószínűséggel hibáznak. Néha azonban a bűnözőknek nem kell ezeket a vészhelyzeteket létrehozniuk. Időnként a vészhelyzeteket külső tényezők okozzák, és a csalásoknak csak annyit kell tenniük, hogy kihasználják az ebből eredő hibákat. A múlt héten az ESET ragyogó példát adott nekünk arról, hogy a globális események miként teremthetik meg a megfelelő környezetet a kibertámadásokhoz.
Néhány hónappal ezelőtt a világ minden országa rendkívüli helyzetet hirdetett a COVID-19 kitörése miatt, és több százezer munkavállalónak mondták, hogy otthonukból kell dolgozniuk. Sokak számára ez azt jelentette, hogy saját számítógépüket és eszközeiket használják, de továbbra is hozzáférésük volt érzékeny vállalati hálózatokhoz és adatokhoz. Az állásidő elkerülése érdekében a beállításokat sietve kellett elvégezni, és kiszámíthatóan az a helyzet, hogy a dolgok rosszra fordultak.
Table of Contents
A rossz RDP-beállítások a támadások számának növekedéséhez vezetnek
Az RDP a távoli asztali protokollt jelenti, és amint a neve is sugallja, ez az egyik módja a távoli kapcsolat létesítésének két eszköz között. A koronavírus kitörése használatának tüskéhez vezetett, ami viszont sokkal több cyberatámadást eredményezett a munkavállalók RDP-kapcsolatait célozva. Az ESET telemetriai adatai szerint január végén, kb. Másfél hónappal azelőtt, hogy az Egészségügyi Világszervezet a koronavírus járvány kitörését hirdette volna meg, az RDP támadások száma napi 40 ezer körül mozogott. Ezzel szemben májusban, körülbelül másfél hónappal azután, hogy az embereknek otthon maradtak, az ESET napi 100 ezer támadást regisztrált.
A gyenge jelszavak és a nem biztonságos hálózati konfigurációk révén az RDP-kapcsolatok könnyen kihasználhatók
Az RDP támadás nem új. Maga a protokoll már régóta létezik, és a hackerek egy ideje kihasználják azt. Az életkor azonban nem a probléma.
Az RDP-kapcsolatok biztonságosan konfigurálhatók, de a támadások nagy száma, amelyet naponta látunk, azt bizonyítja, hogy az emberek egyszerűen nem teszik meg. A COVID-19 világjárvány oka lehet a jelenlegi tüskének, ám maguk a támadások lehetetlenné váltak volna, ha nem az emberek konfigurációs hibái lennének.
A legnagyobb probléma a jelszókezelés. A legtöbb olyan protokollokkal szembeni támadás, mint például az RDP és az SMB, a brute-force technikákra támaszkodik, hogy kitalálják a távoli munkamenetet lehetővé tevő bejelentkezési hitelesítő adatokat, és az a tény, hogy a bűnözők ezeket az éveket még mindig használják, azt bizonyítja, hogy az emberek továbbra is könnyedén védik az érzékeny vállalati adatokat. - feltörni a jelszavakat. Természetesen még jobb lenne, ha a csalóknak semmilyen módon nem lehet bejelentkezni, és vannak olyan eszközök, amelyek ezt is biztosítják. Úgy tűnik azonban, hogy a rendszergazdák nem hajtották végre őket, és amikor a jelenleg nyitott hálózatokról van szó, ennek legalább egyik részét képezi az a nyomás, amelyet az irodák gyors bezárására gyakoroltak, amikor a lezárást bejelentették. .
Az RDP támadások bármihez vezethetnek, az ransomware kitörésektől kezdve a kriptogramatikus kampányokig
A rosszul konfigurált RDP kapcsolatok következményei nagyon katasztrofálisak lehetnek. Miután kitalált egy jelszót és bejelentkezett, a hackerek viszonylag könnyedén szerezhetnek adminisztratív jogosultságokat, ami azt jelenti, hogy nagyjából bármit megtehetnek, amit akarnak. A Ransomware szolgáltatói évek óta használják az RDP-t a vállalkozások és szervezetek adatainak zárolására, és az utóbbi időben felbecsülhetetlen értékű információk ellopására is használták a hozzáférést. Azok a hackerek, akik inkább a csendes támadásokat részesítik előnyben, más bűncselekményekben is részt vehetnek, például a kriptogradálás.
Összességében az RDP nagyon erőteljes támadási vektor, és a rendszergazdáknak komolyan kell venniük biztonságát. Ha a szervezetnek RDP-t kell használnia, úgy konfigurálnia kell a tűzfalat, hogy tiltja a protokoll portjainak külső kapcsolatát, és ideális esetben elrejti a VPN-átjáró mögött. A Sysadminoknak tisztában kell lenniük azzal, hogy ki fogja használni a protokollt, és gondoskodniuk kell arról, hogy minden felhasználó egyedi, erős jelszavakat és kétfaktoros hitelesítést használjon.
