Исследование

Удаленная весна: рост bruteforce-атак на RDP

С распространением COVID-19 организации по всему миру перевели сотрудников на удаленный режим работы, что напрямую повлияло на кибербезопасность организаций и привело к изменению ландшафта угроз.

Наряду с увеличившимся объемом корпоративного трафика, использованием сторонних сервисов для обмена данными, работой сотрудников на домашних компьютерах (в потенциально незащищенных сетях Wi-Fi), одной из «головных болей» для сотрудников ИБ стало увеличившееся количество людей, использующих инструменты удаленного доступа.

Одним из наиболее популярных протоколов прикладного уровня, позволяющем получать доступ к рабочей станции или серверу под управлением ОС Windows, является проприетарный протокол Microsoft — RDP. Во время карантина в Сети появилось большое количество компьютеров и серверов, к которым можно подключиться удаленно, и в данный момент мы наблюдаем рост активности злоумышленников, которые хотят воспользоваться текущим положением вещей и атаковать корпоративные ресурсы, доступ к которым (иногда в спешке) открывали для отправляющихся на «удаленку» сотрудников.

С начала марта количество атак Bruteforce.Generic.RDP скачкообразно увеличилось и картина идентична практически для всего мира:

Пример роста количества атак семейства Bruteforce.Generic.RDP, февраль — апрель 2019 г. (скачать)

Атаки этого типа представляют собой попытки подбора логина и пароля для RDP путем систематического перебора всех возможных вариантов, пока не будет найден верный. Может использоваться перебор как комбинаций символов, так и перебор по словарю популярных или скомпрометированных паролей. Успешно реализованная атака позволяет злоумышленнику получить удаленный доступ к узловому компьютеру, на который она нацелена.

Злоумышленники действуют не точечно, а работают по площадям. Мы предполагаем, что после повсеместного перехода компаний на работу из дома, они пришли к логичному выводу, что количество плохо настроенных RDP-серверов увеличится, и увеличили количество атак.

Скорее всего, атаки на инфраструктуру, связанную с удаленным доступом (а также на различные сервисы, используемые для совместной работы), в ближайшее время не прекратятся. Поэтому если вы используете в работе RDP, необходимо принять все возможные меры по защите:

  • Самый минимум — используйте сложные для подбора пароли;
  • Сделайте RDP доступным только через корпоративный VPN;
  • Используйте Network Level Authentication (NLA);
  • По возможности включите двухфакторную аутентификацию;
  • Если RDP не используется, выключите его и закройте порт 3389;
  • Используйте надежное защитное решение.

Если вместо RDP вы используете другие средства удаленного доступа, это вовсе не значит, что можно расслабиться:  в конце прошлого года эксперты «Лаборатории Касперского» нашли 37 уязвимостей в разных клиентах, работающих с протоколом VNC, который как и RDP используется для получения удаленного доступа.

Компании должны пристально следить за используемыми программами и своевременно обновлять их на всех корпоративных устройствах. Сейчас это не самая простая задача для многих компаний, так как из-за поспешного перевода сотрудников на удаленную работу многим пришлось разрешить сотрудникам работать или подключаться к ресурсам компании со своих домашних ПК, которые зачастую не соответствуют корпоративным стандартам кибербезопасности. В связи с этим мы рекомендуем:

  • Провести с сотрудниками тренинг по основам цифровой безопасности.
  • Использовать разные сложные пароли для доступа к разным корпоративным ресурсам;
  • Обновить все ПО на устройствах сотрудников до актуальных версий;
  • По возможности использовать шифрование на устройствах, которые используются для решения рабочих задач;
  • Сделать резервные копии ключевых данных;
  • Установить на все устройства сотрудников защитные решения и решения, позволяющие отследить технику в случае ее утери.

Удаленная весна: рост bruteforce-атак на RDP

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

Таргетированная атака на промышленные предприятия и государственные учреждения

Эксперты Kaspersky ICS CERT выявили волну атак на предприятия и государственные учреждения нескольких стран Восточной Европы и Афганистана. В ходе исследования выявлено вредоносное ПО, ранее использованное в атаках, которые другие исследователи отнесли к APT TA428.

ToddyCat: неизвестная APT-группа, нацеленная на организации Европы и Азии

ToddyCat является относительно новой APT-группой, ответственной за серии атак на высокостатусные организации Европы и Азии. Два ключевых отличительных признака этой группы — ранее неизвестные инструменты, которые мы назвали «бэкдор Samurai» и «троянец Ninja».

Lazarus распространяет протрояненный DeFi-кошелек

Недавно мы обнаружили протрояненное DeFi-приложение, которое имплантирует в систему полнофункциональный бэкдор. Проанализировав этот бэкдора, мы обнаружили многочисленные совпадения с другими инструментами группы Lazarus.

MoonBounce: скрытая угроза в UEFI

В конце 2021 года мы обнаружили прошивку UEFI, в которую был внедрен вредоносный код, названный нами MoonBounce. В данном отчете мы подробно опишем принцип действия импланта MoonBounce и его связь с APT41.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике