Компанія ESET повідомила про збільшення кількості спроб атак методом грубої зброї

Тенденція зростання кіберзлочинної активності спостерігається з початку світової пандемії. Криза COVID-19 докорінно змінила характер щоденної роботи, змусивши співробітників виконувати значну частину своїх обов'язків за допомогою інструментів віддаленого доступу.

«До переходу на віддалену роботу більшість людей працювали в офісі і користувалися інфраструктурою, яка контролювалася IT-відділом. Однак сьогодні величезна частина «офісної» роботи виконується за допомогою домашніх пристроїв. Співробітники отримують доступ до конфіденційних корпоративних даних через протокол віддаленого робочого столу (RDP)», - пояснює фахівець з кібербезпеки в ESET.  «Незважаючи на зростаючу важливість RDP та інших сервісів віддаленого доступу, організації часто нехтують їх конфігурацією і безпекою. Крім того, співробітники використовують паролі, які легко вгадати, тому без додаткової двофакторної аутентифікації або захисту кіберзлочинці можуть легко отримати доступ до систем організації.

Зокрема, за даними телеметрії ESET, більшість заблокованих IP-адрес, які використовувалися для атак в період з січня по травень 2020 року, були зафіксовані в США, Китаї, Німеччині та Франції. У той час як цілями атак найчастіше були IP-адреси в Німеччині, Японії, Бразилії та Угорщині.

За останні кілька років RDP став популярним вектором атак, особливо серед груп, які поширюють програми-вимагачі. Ці кіберзлочинці часто намагаються проникнути в погано захищену мережу, отримати адміністративні привілеї, відключити або видалити рішення безпеки, а потім запустити програми-вимагачі для шифрування важливих даних компанії.

Також зловмисники можуть використовувати погано захищений RDP для установки шкідливого програмного забезпечення для Майнінг криптовалюта або створення бекдора, який можна використовувати в разі виявлення і припинення несанкціонованого доступу до RDP.

Щоб уникнути зростаючих ризиків, пов'язаних зі збільшенням використання RDP, дослідники ESET розробили новий рівень виявлення, який є частиною захисту від мережевих атак ESET і призначений для блокування вхідних атак шляхом грубих атак із зовнішніх IP-адрес. Новий рівень безпеки під назвою Password Guessing Protection охоплює RDP, а також протокол SMB.

Однак, крім використання сучасних рішень з кібербезпеки, важливо правильно налаштувати RDP:

• Відключити RDP, доступ до якого можна отримати через інтернет. Якщо це неможливо, компанія ESET рекомендує мінімізувати кількість користувачів, які можуть підключатися до серверів організації через Інтернет.
• Встановіть унікальні і складні паролі для всіх облікових записів, в які можна увійти через RDP.
• Використовуйте додатковий рівень аутентифікації (MFA/ 2FA).
• Інсталюйте шлюз віртуальної приватної мережі (VPN) для всіх підключень RDP за межами локальної мережі.
• Вимкніть зовнішні підключення до локальних машин на порту 3389 (TCP/UDP) або будь-якому іншому порту RDP на мережевому брандмауері.
• Налаштуйте захист паролем для рішення безпеки, щоб зловмисники не могли отримати до нього доступ і видалити його.
• Ізолюйте будь-які незахищені або застарілі комп'ютери, доступ до яких можна отримати з Інтернету за допомогою RDP.