Abilitatea hackerilor de a exploata aproape orice vulnerabilitate reprezintă una dintre cele mai mari provocări pentru aplicarea legii - și pentru întreprinderile mici. Biroul Federal de Investigații a emis recent un avertisment întreprinderilor și altora despre o altă amenințare. Hackerii au început să exploateze Remote Desktop Protocol (RDP) pentru a desfășura activități de malware cu o frecvență mai mare.
Potrivit FBI, utilizarea Remote Desktop Protocol ca vector de atac a crescut de la mijlocul până la sfârșitul anului 2016. Creșterea atacurilor RDP a fost în parte determinată de piețele întunecate care vând acces la Remote Desktop Protocol. Acești actori răi au găsit modalități prin care să identifice și să exploateze sesiuni de dezvoltare rurală vulnerabile pe Internet.
$config[code] not foundPentru întreprinderile mici care utilizează RDP pentru a-și controla de la distanță computerele la domiciliu sau la birou, este nevoie de mai multă vigilență, inclusiv punerea în aplicare a unor parole puternice și modificarea regulată a acestora.
În anunțul său, FBI avertizează: "Atacurile folosind protocolul RDP nu necesită introducerea de către utilizatori, ceea ce face dificilă detectarea intruziunilor".
Ce este Remote Desktop Protocol?
Proiectat pentru acces la distanță și gestionare, RDP este o metodă Microsoft pentru simplificarea transferului de date de aplicație între utilizatorii clienți, dispozitive, desktop-urile virtuale și un server terminal terminal de protocol la distanță.
Pur și simplu, RDP vă permite să vă controlați computerul de la distanță pentru a vă gestiona resursele și pentru a accesa datele. Această caracteristică este importantă pentru întreprinderile mici care nu utilizează cloud computing și se bazează pe computerele sau serverele instalate la sediu.
Aceasta nu este prima dată când RDP a prezentat probleme de securitate. În trecut, versiunile anterioare aveau vulnerabilități care le făceau vulnerabile la un atac de tip "man-in-the-middle", oferind atacatorilor acces neautorizat.
Între 2002 și 2017, Microsoft a lansat actualizări care au stabilit 24 de vulnerabilități majore legate de Protocolul Desktop la distanță. Noua versiune este mai sigură, dar anunțul FBI arată că hackerii îl folosesc încă ca vector pentru atacuri.
Remote Desktop Protocol Hacking: Vulnerabilitățile
FBI-ul a identificat mai multe vulnerabilități - dar totul începe cu parole slabe.
Agenția spune că, dacă folosiți cuvinte din dicționar și nu includeți o combinație de litere, numere și caractere speciale, parola dvs. este vulnerabilă la atacuri de forță brute și de dicționar.
Protocolul desktop la distanță depășit, utilizând protocolul Provider Support Provider Security Support (CredSSP), prezintă de asemenea vulnerabilități. CredSSP este o aplicație care deleagă acreditările utilizatorului de la client la serverul destinație pentru autentificare de la distanță. Un PDR învechit face posibilă lansarea unor atacuri de tip "man-in-the-middle".
Alte vulnerabilități includ accesul nerestricționat la portul implicit Protocol de la distanță (TCP 3389) și permiterea încercărilor nelimitate de conectare.
Remote Desktop Hacking Protocol: amenințări
Acestea sunt câteva exemple de amenințări enumerate de FBI:
CrySiS Ransomware: CrySIS ransomware vizează în primul rând afacerile din SUA prin porturile RDP deschise, folosind atât atacuri brute cât și atacuri de dicționar pentru a obține accesul la distanță neautorizat. Prin urmare, CrySiS își abandonează ransomware-ul pe dispozitiv și îl execută. Actorii de amenințare solicită plata în Bitcoin în schimbul unei chei de decriptare.
CryptON Ransomware: CryptON ransomware utilizează atacuri de forță brute pentru a obține acces la sesiunile RDP, apoi permite unui actor de amenințare să execute manual programe rău intenționate pe mașina compromisă. Actorii cibernetici solicită de obicei Bitcoin în schimbul direcțiilor de decriptare.
Samsam Ransomware: Samsam ransomware folosește o gamă largă de exploite, inclusiv cele care atacă mașinile cu RDP, pentru a efectua atacuri de forță brute. În iulie 2018, actorii amenințați de Samsam au folosit un atac brutal asupra acreditărilor de conectare la RDP pentru a se infiltra într-o companie de asistență medicală. Rambursul a fost capabil să cripteze mii de mașini înainte de detectare.
Dark Web Exchange: Actorii amenință să cumpere și să vândă acreditări de conectare RDP furate pe Dark Web. Valoarea acreditărilor este determinată de locația mașinii compromise, a software-ului utilizat în sesiune și a oricăror atribute suplimentare care măresc utilitatea resurselor furate.
Remote Desktop Protocol Hacking: Cum vă puteți proteja pe tine însuți?
Este important să vă amintiți de fiecare dată când încercați să accesați ceva de la distanță, există un risc. Și pentru că Remote Desktop Protocol controlează pe deplin un sistem, ar trebui să reglezi, să monitorizezi și să gestionezi cine are acces atent.
Implementând următoarele bune practici, FBI și Departamentul pentru Securitate Internă din S.U.A. spun că aveți o șansă mai bună împotriva atacurilor bazate pe RDP.
- Activează parolele puternice și politicile de blocare a contului pentru a apăra împotriva atacurilor de forță brute.
- Utilizați autentificarea în doi factori.
- Aplicați periodic actualizările de sistem și software.
- Aveți o strategie de rezervă fiabilă, cu un sistem puternic de recuperare.
- Activați logarea și asigurați-vă mecanismele de înregistrare pentru a captura logina de protocol Remote Desktop Protocol. Păstrați jurnalele pentru cel puțin 90 de zile. În același timp, examinați datele de conectare pentru a vă asigura că numai utilizatorii cu acces le utilizează.
Puteți să consultați restul recomandărilor aici.
Știrile despre încălcările datelor sunt în mod regulat în știri și se întâmplă cu organizații mari, cu resurse aparent nelimitate. Deși poate părea imposibil să vă protejați afacerea mică de toate amenințările cibernetice de acolo, puteți să vă minimalizați riscul și răspunderea dacă aveți protocoalele potrivite, cu o guvernare strictă pentru toate părțile.
Imagine: FBI
