ESET сообщил о росте количества попыток атак методом подбора пароля (brute-force attacks)

Тенденция роста активности киберпреступников наблюдается еще с начала глобальной пандемии. Кризис COVID-19 в корне изменил характер повседневной работы, заставив работников выполнять значительную часть своих обязанностей с помощью инструментов удаленного доступа.

«До перехода на удаленный режим работы большинство людей работали в офисе и использовали инфраструктуру, которую контролировал ИТ-отдел. Однако, сегодня огромная часть «офисной» работы выполняется с помощью домашних устройств. Работники получают доступ к конфиденциальным корпоративных данных через протокол удаленного рабочего стола (RDP), — объясняет специалист по кибербезопасности компании ESET. — Несмотря на рост важности RDP и других служб удаленного доступа, организации часто пренебрегают их настройками и защитой. Кроме этого, сотрудники используют пароли, которые легко угадать, поэтому без дополнительной двухфакторной аутентификации или защиты киберпреступники могут легко получить доступ к системам организации».

В частности, по данным телеметрии ESET, большинство заблокированных IP, которые использовались для атак в период с января по май 2020 года были зафиксированы в США, Китае, Германии и Франции. В то время как объектами атак чаще всего становились IP-адреса в Германии, Японии, Бразилии и Венгрии.

В течение нескольких последних лет RDP стал популярным вектором атак, особенно среди групп, которые занимаются распространением программ-вымогателей. Эти киберпреступники часто пытаются проникнуть в плохо защищенную сеть, получить права администратора, отключить или удалить решения безопасности, а затем запустить программу-вымогатель для шифрования важных данных компании.

Также злоумышленники могут использовать плохо защищенный RDP для установки вредоносного программного обеспечения для майнинга криптовалют или создания бэкдора, который может быть использован в случае выявления и прекращения несанкционированного доступа к RDP.

Во избежание растущих рисков, связанных с увеличением использования RDP, исследователи ESET разработали новый уровень обнаружения, который является частью модуля ESET Защита от сетевых атак и предназначен для блокировки входящих атак методом подбора пароля с внешних IP-адресов. Новый уровень безопасности, который получил название Защита от атак методом подбора пароля, охватывает RDP, а также протокол SMB.

Однако, помимо использования современных решений по кибербезопасности, важно правильно настроить RDP:

• Отключить RDP, к которому можно получить доступ через Интернет. Если это невозможно, специалисты ESET рекомендуют минимизировать количество пользователей, которые могут подключаться к серверам организации через Интернет.
• Установить уникальные и сложные пароли для всех учетных записей, в которые можно войти через RDP.
• Использовать дополнительный уровень аутентификации (MFA/ 2FA).
• Установить шлюз виртуальной частной сети (VPN) для всех соединений RDP вне локальной сети.
• Отключить на брандмауэре сети внешние соединения с локальными машинами на порту 3389 (TCP/UDP) или любом другом порту RDP.
• Установить защиту паролем для решения по безопасности, чтобы злоумышленники не смогли получить к нему доступ и удалить.
• Изолировать любые незащищенные или устаревшие компьютеры, к которым можно получить доступ из Интернета с помощью RDP.