Narastają ataki hasła RDP podczas pandemii COVID-19

Podczas oszustw cyberprzestępcy często próbują oszukać ofiary, aby pomyślały, że istnieje sytuacja kryzysowa, którą należy szybko rozwiązać. W ten sposób cele znacznie częściej spieszą się z działaniem, a kiedy się spieszą, znacznie częściej popełniają błędy. Czasami jednak przestępcy nie muszą tworzyć takich sytuacji kryzysowych. Czasami sytuacje awaryjne są powodowane przez czynniki zewnętrzne, a wszyscy oszuści, którzy muszą to zrobić, wykorzystują wynikające z nich błędy. W ubiegłym tygodniu ESET dał nam wspaniały przykład tego, jak globalne wydarzenia mogą stworzyć odpowiednie środowisko dla cyberataków.

Kilka miesięcy temu kraje na całym świecie ogłosiły stan wyjątkowy z powodu wybuchu COVID-19, a setkom tysięcy pracowników powiedziano, że powinni pracować z domu. Dla wielu oznaczało to korzystanie z własnych komputerów i urządzeń, ale nadal potrzebowali dostępu do wrażliwych sieci firmowych i danych. Aby uniknąć przestojów, konfiguracje musiały zostać wykonane w pośpiechu i, jak można było przewidzieć, tam wszystko poszło nie tak.

Złe konfiguracje RDP prowadzą do gwałtownego wzrostu liczby ataków

RDP to skrót od Remote Desktop Protocol i jak sama nazwa wskazuje, jest to jeden ze sposobów, w jaki można skonfigurować zdalne połączenie między dwoma urządzeniami. Wybuch koronawirusa spowodował gwałtowny wzrost jego wykorzystania, co z kolei spowodowało znacznie więcej cyberataków atakujących połączenia RDP pracowników. W rzeczywistości, według danych telemetrycznych ESET, pod koniec stycznia, około półtora miesiąca przed ogłoszeniem przez Światową Organizację Zdrowia epidemii koronawirusa pandemią, liczba ataków RDP wahała się około 40 tysięcy dziennie. Natomiast w maju, około półtora miesiąca po tym, jak kazano ludziom pozostać w domu, ESET zarejestrował szczyt 100 tysięcy codziennych ataków.

Słabe hasła i niepewne konfiguracje sieci sprawiają, że połączenia RDP są łatwe do wykorzystania

Ataki RDP nie są nowe. Sam protokół istnieje od wieków, a hakerzy wykorzystują go od dłuższego czasu. Wiek nie jest tu jednak problemem.

Połączenia RDP można skonfigurować tak, aby były bezpieczne, ale duża liczba ataków, które obserwujemy każdego dnia, dowodzi, że ludzie po prostu tego nie robią. Pandemia COVID-19 może być przyczyną obecnego skoku, ale same ataki byłyby niemożliwe, gdyby nie pomyłki w konfiguracji ludzi.

Największym problemem jest zarządzanie hasłami. Większość ataków na protokoły, takie jak RDP i SMB, polega na technikach brute-force, aby odgadnąć poświadczenia logowania umożliwiające zdalną sesję, a fakt, że oszuści nadal ich używają po tylu latach dowodzi, że ludzie nadal łatwo chronią wrażliwe dane firmowe -hakowanie haseł. Oczywiście byłoby jeszcze lepiej, gdyby oszuści nie mieli możliwości zalogowania się, a istnieją narzędzia, które również mogą to zapewnić. Wydaje się jednak, że administratorzy systemu nie wdrożyli ich, a jeśli chodzi o obecnie odsłonięte sieci, przynajmniej częściowo wynika to z presji, jaką wywierali, aby szybko zamknąć biura, kiedy ogłoszono blokadę .

Ataki RDP mogą skutkować wszystkim, od epidemii ransomware po kampanie kryptowalut

Konsekwencje źle skonfigurowanych połączeń RDP mogą być dość katastrofalne. Po odgadnięciu hasła i zalogowaniu się hakerzy mogą stosunkowo łatwo uzyskać uprawnienia administracyjne, co oznacza, że mogą zrobić wszystko, co tylko chcą. Operatorzy oprogramowania ransomware od lat używają protokołu RDP do blokowania danych firm i organizacji, a ostatnio wykorzystali dostęp do kradzieży bezcennych informacji. Hakerzy, którzy preferują bardziej ciche ataki, mogą również angażować się w inne działania przestępcze, takie jak szyfrowanie.

Podsumowując, RDP jest bardzo potężnym wektorem ataku, a administratorzy systemu muszą poważnie podchodzić do bezpieczeństwa. Jeśli ich organizacja musi korzystać z protokołu RDP, powinna skonfigurować zaporę ogniową tak, aby nie zezwalała na zewnętrzne połączenia z portami protokołu, a najlepiej ukryłaby ją za bramą VPN. Administratorzy systemów muszą dobrze wiedzieć, kto będzie korzystał z protokołu, i muszą upewnić się, że wszyscy użytkownicy stosują unikalne, silne hasła, a także uwierzytelnianie dwuskładnikowe.