Компания ESET — лідер у галузі інформаційної безпеки — повідомляє про зростання кількості спроб атак методом підбору пароля (brute-force attacks) протягом пандемії.

Тенденція щодо зростання активності кіберзлочинців спостерігається ще з початку глобальної пандемії. Криза COVID-19 докорінно змінила характер повсякденної роботи, змусивши працівників виконувати значну частину своїх обов’язків за допомогою інструментів віддаленого доступу.

RDP атаки на пользователей с удаленным режимом работы. ESET.

 

Рис. 1. Динаміка спроб RDP атак на унікальних користувачів (за день), виявлених за допомогою технологій ESET.

«До переходу на віддалений режим роботи більшість людей працювали в офісі та використовували інфраструктуру, яку контролював ІТ-відділ. Однак, сьогодні величезна частина «офісної» роботи виконується за допомогою домашніх пристроїв. Працівники отримують доступ до конфіденційних корпоративних даних через протокол віддаленого робочого столу (RDP), — пояснює Ондрей Кубович, спеціаліст з кібербезпеки компанії ESET. — Незважаючи на зростання важливості RDP та інших служб віддаленого доступу, організації часто нехтують їх налаштуваннями та захистом. Крім цього, співробітники використовують паролі, які легко відгадати, тому без додаткової двофакторної аутентифікації чи захисту кіберзлочинці можуть легко отримати доступ до систем організації».

Зокрема, за даними телеметрії ESET, більшість заблокованих ІP, які використовувались для атак у період з січня до травня 2020 року були зафіксовані у США, Китаї, Росії, Німеччині та Франції. Тоді як об’єктами атак найчастіше ставали IP-адреси в Росії, Німеччині, Японії, Бразилії та Угорщині.

Согласно данным телеметрии ESET - RDP стал популярным вектором атак.

Рис.2. Країни з найбільшою кількістю заблокованих IP-адрес (у період 01 січня до 31 травня 2020 року).

Протягом декількох останніх років RDP став популярним вектором атак, особливо серед груп, які займаються поширенням програм-вимагачів. Ці кіберзлочинці часто намагаються проникнути в погано захищену мережу, отримати права адміністратора, відключити або видалити рішення безпеки, а потім запустити програму-вимагач для шифрування важливих даних компанії.

Також зловмисники можуть використовувати погано захищений RDP для встановлення шкідливого програмного забезпечення для майнінгу криптовалют або створення бекдора, який може бути використаний у випадку виявлення та припинення несанкціонованого доступу до RDP.

Для уникнення зростаючих ризиків, пов’язаних зі збільшенням використання RDP, дослідники ESET розробили новий рівень виявлення, який є частиною модуля ESET Захист від мережевих атак та призначений для блокування вхідних атак методом підбору пароля із зовнішніх IP-адрес. Новий рівень безпеки, який отримав назву Захист від атак методом підбору пароля, охоплює RDP, а також протокол SMB.

Однак, крім використання сучасних рішень з кібербезпеки, важливо правильно налаштувати RDP:

  • Вимкнути RDP, до якого можна отримати доступ через Інтернет. Якщо це неможливо, спеціалісти ESET рекомендують мінімізувати кількість користувачів, які можуть підключатися до серверів організації через Інтернет.
  • Встановити унікальні та складні паролі для всіх облікових записів, у які можна ввійти через RDP.
  • Використовувати додатковий рівень аутентифікації (MFA/2FA).
  • Встановити шлюз віртуальної приватної мережі (VPN) для всіх з’єднань RDP поза межами локальної мережі.
  • Відключити на брандмауері мережі зовнішні з’єднання з локальними машинами на порту 3389 (TCP/UDP) або будь-якому іншому порту RDP.
  • Встановити захист паролем для рішення з безпеки, щоб зловмисники не змогли отримати до нього доступ та видалити.
  • Ізолювати будь-які незахищені або застарілі комп’ютери, до яких можна отримати доступ з Інтернету за допомогою RDP.

Источник ESET

По вопросам приобретения решений ESET обращайтесь к нашим специалистам +380 (44) 383 4410 или sales@softico.ua.