RDP-wachtwoordaanvallen nemen toe tijdens de COVID-19-pandemie

Tijdens hun oplichting proberen cybercriminelen de slachtoffers vaak te laten denken dat er een noodsituatie is die snel moet worden aangepakt. Door dit te doen, hebben de doelen veel meer haast om te handelen, en als ze haast hebben, maken ze veel vaker fouten. Soms hoeven de criminelen deze noodsituaties echter niet te creëren. Soms worden de noodsituaties veroorzaakt door externe factoren en hoeven de oplichters alleen maar te profiteren van de resulterende fouten. Vorige week gaf ESET ons een schitterend voorbeeld van hoe wereldwijde evenementen de juiste omgeving voor cyberaanvallen kunnen creëren.

Een paar maanden geleden hebben landen over de hele wereld de noodtoestand uitgeroepen vanwege de COVID-19-uitbraak, en honderdduizenden arbeiders kregen te horen dat ze thuis moesten werken. Voor velen betekende dit het gebruik van hun eigen computers en apparaten, maar ze hadden nog steeds toegang nodig tot gevoelige bedrijfsnetwerken en gegevens. Om downtime te voorkomen, moesten de instellingen snel worden uitgevoerd, en voorspelbaar, daar ging het mis.

Slechte RDP-instellingen leiden tot een piek in het aantal aanvallen

RDP staat voor Remote Desktop Protocol en zoals de naam al doet vermoeden, is dit een van de manieren waarop u een externe verbinding tussen twee apparaten kunt opzetten. De uitbraak van het coronavirus leidde tot een piek in het gebruik ervan, wat op zijn beurt resulteerde in veel meer cyberaanvallen gericht op de RDP-verbindingen van werknemers. Volgens de telemetrie van ESET, eind januari, ongeveer anderhalve maand voordat de Wereldgezondheidsorganisatie de uitbraak van het coronavirus een pandemie verklaarde, schommelde het aantal RDP-aanvallen rond de 40 duizend per dag. Daarentegen registreerde ESET in mei, ongeveer anderhalve maand nadat mensen werd verteld thuis te blijven, een piek van 100 duizend dagelijkse aanvallen.

Door zwakke wachtwoorden en onveilige netwerkconfiguraties kunnen RDP-verbindingen gemakkelijk worden benut

RDP-aanvallen zijn niet nieuw. Het protocol zelf bestaat al eeuwen en hackers maken er al een tijdje gebruik van. Leeftijd is hier echter niet het probleem.

RDP-verbindingen kunnen worden geconfigureerd om veilig te zijn, maar het grote aantal aanvallen dat we elke dag zien, bewijst dat mensen het gewoon niet doen. De COVID-19-pandemie is misschien de reden voor de huidige piek, maar de aanvallen zelf zouden onmogelijk zijn geweest als er geen configuratiefouten waren geweest.

Het grootste probleem is wachtwoordbeheer. De meeste aanvallen op protocollen zoals RDP en SMB zijn gebaseerd op brute-force-technieken om de inloggegevens te raden die de externe sessie mogelijk maken, en het feit dat de oplichters ze na al die jaren nog steeds gebruiken, bewijst dat mensen nog steeds gevoelige bedrijfsgegevens met gemak beschermen -wachtwoorden kraken. Het zou natuurlijk nog beter zijn als de boeven helemaal niet kunnen inloggen en er zijn tools die dat ook kunnen garanderen. Het lijkt er echter op dat systeembeheerders deze niet hebben geïmplementeerd, en als het gaat om de momenteel blootgestelde netwerken, is een deel van de reden hiervoor tenminste de druk die ze hadden om de kantoren snel te sluiten toen de lockdown werd aangekondigd .

RDP-aanvallen kunnen van alles veroorzaken, van ransomware-uitbraken tot cryptojacking-campagnes

De gevolgen van slecht geconfigureerde RDP-verbindingen kunnen behoorlijk catastrofaal zijn. Na het raden van een wachtwoord en het inloggen, kunnen de hackers relatief gemakkelijk administratieve privileges krijgen, wat betekent dat ze vrijwel alles kunnen doen wat ze willen. Ransomware-operators gebruiken RDP al jaren om de gegevens van bedrijven en organisaties te vergrendelen en onlangs hebben ze de toegang die ze hebben gebruikt om ook waardevolle informatie te stelen . Hackers die de voorkeur geven aan stillere aanvallen, kunnen ook deelnemen aan andere criminele activiteiten zoals cryptojacking.

Al met al is RDP een zeer krachtige aanvalsvector en moeten systeembeheerders de beveiliging serieus nemen. Als hun organisatie RDP nodig heeft, moeten ze de firewall configureren om externe verbindingen met de poorten van het protocol niet toe te staan, en idealiter verbergen ze deze achter een VPN-gateway. Sysadmins moeten goed weten wie het protocol gaat gebruiken en ze moeten ervoor zorgen dat alle gebruikers unieke, sterke wachtwoorden gebruiken, evenals tweefactorauthenticatie.