Атаки паролем RDP усиливаются во время пандемии COVID-19
Во время мошенничества киберпреступники часто пытаются обмануть жертв, заставляя их думать, что существует чрезвычайная ситуация, которую необходимо быстро устранить. Делая это, цели, скорее всего, будут спешить, и когда они спешат, они с большей вероятностью совершают ошибки. Однако иногда преступникам не нужно создавать эти чрезвычайные ситуации. Иногда, чрезвычайные ситуации вызваны внешними факторами, и все, что нужно сделать мошенникам, - это воспользоваться возникающими ошибками. На прошлой неделе ESET дал нам блестящий пример того, как глобальные события могут создать подходящую среду для кибератак.
Несколько месяцев назад страны во всем мире объявили чрезвычайное положение из-за вспышки COVID-19, и сотням тысяч работников сказали, что они должны работать из дома. Для многих это означало использование их собственных компьютеров и устройств, но им по-прежнему требовался доступ к конфиденциальным корпоративным сетям и данным. Чтобы избежать простоев, настройки должны были быть выполнены в спешке, и, как и ожидалось, именно здесь все пошло не так.
Table of Contents
Плохие настройки RDP приводят к резкому увеличению числа атак
RDP означает «Протокол удаленного рабочего стола», и, как следует из его названия, это один из способов установки удаленного соединения между двумя устройствами. Вспышка коронавируса привела к всплеску его использования, что, в свою очередь, привело к гораздо большему количеству кибератак, нацеленных на соединения RDP сотрудников. Фактически, согласно телеметрии ESET, в конце января, примерно за полтора месяца до того, как Всемирная организация здравоохранения объявила вспышку коронавируса пандемией, число атак RDP колебалось около 40 тысяч в день. Напротив, в мае, примерно через полтора месяца после того, как людям было приказано оставаться дома, ESET зарегистрировал пик из 100 тысяч ежедневных атак.
Слабые пароли и небезопасные конфигурации сети делают RDP-соединения легко используемыми
Атаки RDP не новы. Сам протокол существует уже много лет, и хакеры уже давно его используют. Однако возраст здесь не проблема.
Соединения RDP могут быть настроены как безопасные, но большое количество атак, которые мы видим каждый день, доказывает, что люди просто не делают этого. Пандемия COVID-19 может быть причиной нынешнего всплеска, но сами атаки были бы невозможны, если бы не ошибки конфигурации людей.
Самая большая проблема - управление паролями. Большинство атак на протоколы, такие как RDP и SMB, основаны на методах перебора, позволяющих угадать учетные данные для входа в систему, которые делают возможным удаленный сеанс, и тот факт, что мошенники все еще используют их после всех этих лет, доказывает, что люди все еще защищают конфиденциальные корпоративные данные с легкостью взломать пароли. Конечно, было бы еще лучше, если бы мошенники вообще не могли войти в систему, и есть инструменты, которые могут это гарантировать. Однако может показаться, что системные администраторы не смогли внедрить их, и когда дело доходит до открытых сетей, по крайней мере, одной из причин этого является давление, которое они испытывали, чтобы быстро закрыть офисы, когда была объявлена блокировка ,
Атаки RDP могут привести к чему угодно, от вспышек вымогателей до кампаний по криптографии.
Последствия плохо настроенных RDP-соединений могут быть довольно катастрофическими. После угадывания пароля и входа в систему хакеры могут относительно легко получить административные привилегии, что означает, что они могут делать практически все, что хотят. Операторы-вымогатели годами использовали RDP для блокировки данных предприятий и организаций, а недавно они использовали доступ, который у них есть, чтобы украсть бесценную информацию. Хакеры, которые предпочитают более бесшумные атаки, могут также участвовать в других криминальных действиях, таких как криптография.
В целом, RDP - очень мощный вектор атаки, и системные администраторы должны серьезно относиться к его безопасности. Если их организации необходимо использовать RDP, им следует настроить брандмауэр для запрета внешних подключений к портам протокола, и в идеале они будут скрывать его за шлюзом VPN. Системные администраторы должны хорошо знать, кто будет использовать протокол, и они должны убедиться, что все пользователи используют уникальные надежные пароли, а также двухфакторную аутентификацию.
