RDP-lösenordsattacker är på väg under COVID-19-pandemin
Under deras bedrägerier försöker cyberbrottslingar ofta att lura offer att tro att det finns en nödsituation som måste åtgärdas snabbt. Genom att göra detta är målen mycket mer benägna att ha bråttom att agera, och när de har bråttom är de mycket mer benägna att göra misstag. Ibland behöver dock inte kriminella skapa dessa nödsituationer. Ibland orsakas nödsituationer av faktorer utanför, och alla skurkarna behöver göra är att dra nytta av de resulterande felen. Förra veckan gav ESET oss ett lysande exempel på hur globala händelser kan skapa rätt miljö för cyberattacker.
För några månader sedan förklarade länder runt om i världen en nödsituation på grund av COVID-19-utbrottet, och hundratusentals arbetare fick höra att de skulle arbeta hemifrån. För många innebar detta att använda sina egna datorer och enheter, men de behövde fortfarande tillgång till känsliga företagsnätverk och data. För att undvika driftsstopp behövde inställningarna göras bråttom, och förutsägbart var det där saker gick fel.
Table of Contents
Dåliga RDP-uppsättningar leder till en ökning av antalet attacker
RDP står för Remote Desktop Protocol, och som namnet antyder är det ett av sätten på vilket du kan ställa in en fjärranslutning mellan två enheter. Coronavirusutbrottet ledde till en ökning av dess användning, vilket i sin tur resulterade i en hel del fler cyberattacker riktade till anställdas RDP-anslutningar. I själva verket, enligt ESETs telemetri, i slutet av januari, ungefär en och en halv månad innan Världshälsoorganisationen förklarade koronavirusutbrottet som en pandemi, svävde antalet RDP-attacker runt 40 tusen per dag. Däremot, i maj, ungefär en och en halv månad efter att människor fick höra att stanna hemma, registrerade ESET en topp på 100 tusen dagliga attacker.
Svaga lösenord och osäkra nätverkskonfigurationer gör RDP-anslutningar lättanvändbara
RDP-attacker är inte nya. Protokollet självt har funnits i evigheter och hackare har utnyttjat det ett tag. Ålder är dock inte problemet här.
RDP-anslutningar kan konfigureras för att vara säkra, men det stora antalet attacker vi ser varje dag bevisar att människor bara inte gör det. COVID-19-pandemin kan vara orsaken till den nuvarande spik, men attackerna själva skulle ha varit omöjliga om det inte var för människors konfigurationsfel.
Det största problemet är lösenordshantering. De flesta attacker mot protokoll som RDP och SMB förlitar sig på brute-force-tekniker för att gissa inloggningsuppgifterna som möjliggör fjärrsamlingen, och det faktum att skurkarna fortfarande använder dem efter alla dessa år bevisar att människor fortfarande skyddar känslig företagsdata med lätt -för att spricka lösenord. Naturligtvis skulle det vara ännu bättre om skurkarna inte har något sätt att logga in alls, och det finns verktyg som kan säkerställa det också. Det verkar dock som om systemadministratörer har misslyckats med att implementera dem, och när det gäller de för närvarande exponerade nätverken, är åtminstone en del av anledningen till detta trycket de var under för att snabbt stänga kontoren när lockdown tillkännagavs .
RDP-attacker kan resultera i allt från ransomware-utbrott till cryptojacking-kampanjer
Konsekvenserna av dåligt konfigurerade RDP-anslutningar kan vara ganska katastrofala. Efter att ha gissat ett lösenord och loggat in kan hackarna få administrativa privilegier med relativa lätthet, vilket innebär att de kan göra stort sett vad de vill. Ransomware-operatörer har använt RDP för att låsa uppgifter från företag och organisationer i flera år, och nyligen har de använt den åtkomst de har för att stjäla ovärderlig information också. Hackare som föredrar mer tysta attacker kan också delta i andra kriminella aktiviteter som kryptering.
Sammantaget är RDP en mycket kraftfull attackvektor, och systemadministratörer måste ta sin säkerhet på allvar. Om deras organisation behöver använda RDP, bör de konfigurera brandväggen så att de inte tillåter externa anslutningar till protokollets portar, och helst döljer de den bakom en VPN-gateway. Sysadmins måste vara väl medvetna om vem som ska använda protokollet, och de måste se till att alla användare använder unika, starka lösenord såväl som tvåfaktorsautentisering.