Компания ESET — лидер в области информационной безопасности — сообщает о росте количества попыток атак методом подбора пароля (brute-force attacks) в течение пандемии.
Тенденция роста активности киберпреступников наблюдается еще с начала глобальной пандемии. Кризис COVID-19 в корне изменил характер повседневной работы, заставив работников выполнять значительную часть своих обязанностей с помощью инструментов удаленного доступа.
Рис. 1. Динамика попыток RDP атак на уникальных пользователей (в день), выявленных с помощью технологий ESET
«До перехода на удаленный режим работы большинство людей работали в офисе и использовали инфраструктуру, которую контролировал ИТ-отдел. Однако, сегодня огромная часть «офисной» работы выполняется с помощью домашних устройств. Работники получают доступ к конфиденциальным корпоративных данных через протокол удаленного рабочего стола (RDP), — объясняет Ондрей Кубович, специалист по кибербезопасности компании ESET. — Несмотря на рост важности RDP и других служб удаленного доступа, организации часто пренебрегают их настройками и защитой. Кроме этого, сотрудники используют пароли, которые легко угадать, поэтому без дополнительной двухфакторной аутентификации или защиты киберпреступники могут легко получить доступ к системам организации».
В частности, по данным телеметрии ESET, большинство заблокированных IP, которые использовались для атак в период с января по май 2020 года были зафиксированы в США, Китае, России, Германии и Франции. В то время как объектами атак чаще всего становились IP-адреса в России, Германии, Японии, Бразилии и Венгрии.
Рис.2. Страны с наибольшим количеством заблокированных IP-адресов (в период с 01 января по 31 мая 2020 года)
В течение нескольких последних лет RDP стал популярным вектором атак, особенно среди групп, которые занимаются распространением программ-вымогателей. Эти киберпреступники часто пытаются проникнуть в плохо защищенную сеть, получить права администратора, отключить или удалить решения безопасности, а затем запустить программу-вымогатель для шифрования важных данных компании.
Также злоумышленники могут использовать плохо защищенный RDP для установки вредоносного программного обеспечения для майнинга криптовалют или создания бэкдора, который может быть использован в случае выявления и прекращения несанкционированного доступа к RDP.
Во избежание растущих рисков, связанных с увеличением использования RDP, исследователи ESET разработали новый уровень обнаружения, который является частью модуля ESET Защита от сетевых атак и предназначен для блокировки входящих атак методом подбора пароля с внешних IP-адресов. Новый уровень безопасности, который получил название Защита от атак методом подбора пароля, охватывает RDP, а также протокол SMB.
Однако, помимо использования современных решений по кибербезопасности, важно правильно настроить RDP:
- Отключить RDP, к которому можно получить доступ через Интернет. Если это невозможно, специалисты ESET рекомендуют минимизировать количество пользователей, которые могут подключаться к серверам организации через Интернет.
- Установить уникальные и сложные пароли для всех учетных записей, в которые можно войти через RDP.
- Использовать дополнительный уровень аутентификации (MFA/ 2FA).
- Установить шлюз виртуальной частной сети (VPN) для всех соединений RDP вне локальной сети.
- Отключить на брандмауэре сети внешние соединения с локальными машинами на порту 3389 (TCP/UDP) или любом другом порту RDP.
- Установить защиту паролем для решения по безопасности, чтобы злоумышленники не смогли получить к нему доступ и удалить.
- Изолировать любые незащищенные или устаревшие компьютеры, к которым можно получить доступ из Интернета с помощью RDP.