Удаленная весна: рост bruteforce-атак на RDP

С распространением COVID-19 организации по всему миру перевели сотрудников на удаленный режим работы, что напрямую повлияло на кибербезопасность организаций и привело к изменению ландшафта угроз.

Наряду с увеличившимся объемом корпоративного трафика, использованием сторонних сервисов для обмена данными, работой сотрудников на домашних компьютерах (в потенциально незащищенных сетях Wi-Fi), одной из «головных болей» для сотрудников ИБ стало увеличившееся количество людей, использующих инструменты удаленного доступа.

Одним из наиболее популярных протоколов прикладного уровня, позволяющем получать доступ к рабочей станции или серверу под управлением ОС Windows, является проприетарный протокол Microsoft — RDP. Во время карантина в Сети появилось большое количество компьютеров и серверов, к которым можно подключиться удаленно, и в данный момент мы наблюдаем рост активности злоумышленников, которые хотят воспользоваться текущим положением вещей и атаковать корпоративные ресурсы, доступ к которым (иногда в спешке) открывали для отправляющихся на «удаленку» сотрудников.

С начала марта количество атак Bruteforce.Generic.RDP скачкообразно увеличилось и картина идентична практически для всего мира:

Пример роста количества атак семейства Bruteforce.Generic.RDP, февраль — апрель 2019 г. (скачать)

Атаки этого типа представляют собой попытки подбора логина и пароля для RDP путем систематического перебора всех возможных вариантов, пока не будет найден верный. Может использоваться перебор как комбинаций символов, так и перебор по словарю популярных или скомпрометированных паролей. Успешно реализованная атака позволяет злоумышленнику получить удаленный доступ к узловому компьютеру, на который она нацелена.

Злоумышленники действуют не точечно, а работают по площадям. Мы предполагаем, что после повсеместного перехода компаний на работу из дома, они пришли к логичному выводу, что количество плохо настроенных RDP-серверов увеличится, и увеличили количество атак.

Скорее всего, атаки на инфраструктуру, связанную с удаленным доступом (а также на различные сервисы, используемые для совместной работы), в ближайшее время не прекратятся. Поэтому если вы используете в работе RDP, необходимо принять все возможные меры по защите:

• Самый минимум — используйте сложные для подбора пароли;
• Сделайте RDP доступным только через корпоративный VPN;
• Используйте Network Level Authentication (NLA);
• По возможности включите двухфакторную аутентификацию;
• Если RDP не используется, выключите его и закройте порт 3389;
• Используйте надежное защитное решение.

Если вместо RDP вы используете другие средства удаленного доступа, это вовсе не значит, что можно расслабиться:  в конце прошлого года эксперты «Лаборатории Касперского» нашли 37 уязвимостей в разных клиентах, работающих с протоколом VNC, который как и RDP используется для получения удаленного доступа.

Компании должны пристально следить за используемыми программами и своевременно обновлять их на всех корпоративных устройствах. Сейчас это не самая простая задача для многих компаний, так как из-за поспешного перевода сотрудников на удаленную работу многим пришлось разрешить сотрудникам работать или подключаться к ресурсам компании со своих домашних ПК, которые зачастую не соответствуют корпоративным стандартам кибербезопасности. В связи с этим мы рекомендуем:

• Провести с сотрудниками тренинг по основам цифровой безопасности.
• Использовать разные сложные пароли для доступа к разным корпоративным ресурсам;
• Обновить все ПО на устройствах сотрудников до актуальных версий;
• По возможности использовать шифрование на устройствах, которые используются для решения рабочих задач;
• Сделать резервные копии ключевых данных;
• Установить на все устройства сотрудников защитные решения и решения, позволяющие отследить технику в случае ее утери.