Дистанционная весна: рост RDP атак грубой силы

С распространением COVID-19 организации во всем мире внедрили удаленную работу, которая оказывает непосредственное влияние

на кибербезопасность и ландшафт угроз.                        Наряду с большим объемом корпоративного трафика, использованием сторонних сервисов для обмена данными и сотрудниками, работающими на домашних компьютерах (и потенциально небезопасными сетями Wi-Fi), еще одной головной болью для инфосекционных групп является увеличение числа людей, использующих удаленный доступ. инструменты.  Одним из наиболее популярных протоколов уровня приложений для доступа к рабочим станциям или серверам Windows является собственный протокол Microsoft - RDP . Блокировка привела к появлению большого количества компьютеров и серверов, которые могут быть подключены удаленно, и сейчас мы наблюдаем рост активности киберпреступников с целью использования ситуации для атаки на корпоративные ресурсы, которые теперь стали доступны (иногда в спешите) к удаленным работникам.                                                                                  С начала марта число атак Bruteforce.Generic.RDP достигло почти всей планеты:

Рост числа атак со стороны семейства Bruteforce.Generic.RDP, февраль – апрель 2019 г. 

Атаки этого типа являются попытками перебора имени пользователя и пароля для RDP путем систематической проверки всех возможных вариантов, пока не будет найден правильный. Поиск может быть основан на комбинации случайных символов или словаре популярных или скомпрометированных паролей. Успешная атака дает злоумышленнику удаленный доступ к целевому компьютеру в сети.                                                                           Нападающие грубой силы не являются хирургическими при их приближении, но действуют по области. Насколько мы можем судить, после массового перехода на домашнюю работу они логически пришли к выводу, что число плохо настроенных RDP-серверов будет увеличиваться, что приведет к увеличению числа атак.                                     Атаки на инфраструктуру удаленного доступа (а также инструменты совместной работы) вряд ли прекратятся в ближайшее время. Поэтому, если вы используете RDP в своей работе, обязательно примите все возможные меры защиты:

• Как минимум, используйте надежные пароли.
• Сделать RDP доступным только через корпоративный VPN.
• Используйте проверку подлинности на уровне сети (NLA).
• Если возможно, включите двухфакторную аутентификацию .
• Если вы не используете RDP, отключите его и закройте порт 3389.
• Используйте надежное решение безопасности.

Если вы используете другой протокол удаленного доступа, вы все равно не сможете расслабиться: в конце прошлого года эксперты Kaspersky обнаружили 37 уязвимостей в различных клиентах, подключенных по протоколу VNC, который, как и RDP, используется для удаленного доступа.                Компании должны внимательно следить за используемыми программами и своевременно обновлять их на всех корпоративных устройствах. В настоящее время это нелегкая задача для многих компаний, потому что поспешный переход к удаленной работе вынудил многих разрешить сотрудникам работать или подключаться к ресурсам компании со своих домашних компьютеров, что часто не соответствует корпоративным стандартам кибербезопасности. Наш совет заключается в следующем:

• Проводить обучение сотрудников основам цифровой безопасности.
• Используйте разные надежные пароли для доступа к разным корпоративным ресурсам.
• Обновите все программное обеспечение на устройствах сотрудников до последней версии.
• Где возможно, используйте шифрование на устройствах, используемых в рабочих целях.
• Сделайте резервные копии важных данных.
• Установите решения безопасности на всех устройствах сотрудников, а также решения для отслеживания оборудования в случае потери.                                                                                                                                                                                                                                                          Источник Лаборатория Касперского