RDP-passordangrep er på vei under COVID-19-pandemien
Under svindelen prøver cyberkriminelle ofte å lure ofrene til å tro at det er en nødsituasjon som må løses raskt. Ved å gjøre dette er det mye mer sannsynlig at målene har det travelt med å handle, og når de har det travelt, er det mye mer sannsynlig at de gjør feil. Noen ganger trenger imidlertid ikke kriminelle å opprette disse nødhjelpene. Noen ganger er nødsituasjonene forårsaket av faktorer utenfor, og alt skurkene trenger å gjøre er å dra nytte av de resulterende feilene. Forrige uke ga ESET oss et strålende eksempel på hvordan globale hendelser kan skape det rette miljøet for nettangrep.
For noen måneder siden erklærte land over hele verden en unntakstilstand på grunn av COVID-19-utbruddet, og hundretusener av arbeidere fikk beskjed om at de skulle jobbe hjemmefra. For mange betydde dette å bruke sine egne datamaskiner og enheter, men de trengte fortsatt tilgang til sensitive bedriftsnettverk og data. For å unngå driftsstans, måtte oppsettene gjøres i en hast, og forutsigbart var det der ting gikk galt.
Table of Contents
Dårlige RDP-oppsett fører til en økning i antall angrep
RDP står for Remote Desktop Protocol, og som navnet antyder er det en av måtene du kan sette opp en ekstern tilkobling mellom to enheter. Coronavirus-utbruddet førte til en økning i bruken, noe som igjen resulterte i ganske mye mer cyberattacks rettet mot ansattes RDP-tilkoblinger. I følge ESETs telemetri, i slutten av januar, omtrent halvannen måned før Verdens helseorganisasjon erklærte koronavirusutbruddet som en pandemi, svevde antallet RDP-angrep rundt 40 000 per dag. Derimot, i mai, omtrent halvannen måned etter at folk ble bedt om å holde seg hjemme, registrerte ESET en topp på 100 000 daglige angrep.
Svake passord og usikre nettverkskonfigurasjoner gjør det enkelt å utnytte RDP-tilkoblinger
RDP-angrep er ikke nye. Selve protokollen har eksistert i evigheter, og hackere har utnyttet den en stund. Alder er ikke problemet her.
RDP-tilkoblinger kan konfigureres for å være sikre, men det store antallet angrep vi ser hver dag, beviser at folk bare ikke gjør det. COVID-19-pandemien kan være årsaken til den nåværende piggen, men angrepene i seg selv ville vært umulige hvis det ikke var for folks konfigurasjonsfeil.
Det største problemet er passordhåndtering. De fleste angrep på protokoller som RDP og SMB er avhengige av brute-force-teknikker for å gjette innloggingsinformasjon som muliggjør den eksterne økten, og det faktum at skurkerne fortsatt bruker dem etter alle disse årene, beviser at folk fremdeles beskytter sensitive bedriftsdata med enkelt -for å sprekke passord. Selvfølgelig ville det være enda bedre hvis kjeltringene ikke har noen måte å logge på i det hele tatt, og det er verktøy som kan sikre det også. Det ser imidlertid ut til at systemadministratorer har mislyktes i å implementere dem, og når det gjelder de nettopp eksponerte nettverkene, er i det minste en del av grunnen til dette presset de var under for å raskt stenge kontorene da lockdown ble kunngjort .
RDP-angrep kan resultere i alt fra ransomware-utbrudd til cryptojacking-kampanjer
Konsekvensene av dårlig konfigurerte RDP-tilkoblinger kan være ganske katastrofale. Etter å ha gjettet et passord og logget på, kan hackerne få administrative rettigheter med relativt enkelhet, noe som betyr at de kan gjøre stort sett hva de vil. Ransomware-operatører har brukt RDP for å låse data fra bedrifter og organisasjoner i mange år, og nylig har de brukt tilgangen de har til å stjele uvurderlig informasjon også. Hackere som foretrekker mer lydløse angrep, kan også delta i andre kriminelle aktiviteter som kryptering.
Alt i alt er RDP en veldig kraftig angrepsvektor, og systemadministratorer må ta sikkerheten på alvor. Hvis organisasjonen deres trenger å bruke RDP, bør de konfigurere brannmuren slik at den ikke tillater eksterne tilkoblinger til protokollens porter, og ideelt sett vil de gjemme den bak en VPN-gateway. Sysadmins må være godt klar over hvem som skal bruke protokollen, og de må sørge for at alle brukere bruker unike, sterke passord samt tofaktorautentisering.
