Атаки на интернет-RDP-серверы, вспыхивающие во время пандемии COVID-19

Стремление дать сотрудникам возможность работать из дома в ответ на пандемию COVID-19 привело к тому, что более 1,5 миллиона новых серверов протокола удаленного рабочего стола (RDP) были открыты для доступа в Интернет. Количество атак на открытые порты RDP в США более чем утроилось в марте и апреле.

Не многие компании имеют большой запас неиспользуемых управляемых ноутбуков, которые сотрудники могут забрать домой в короткие сроки, особенно те, кто раньше выполнять свою работу на рабочих станциях с помощью пользовательского устаревшего программного обеспечения, которое работает только в определенных версиях Windows. Поскольку ИТ-отделам также приходится работать из дома, необходимость удаленного управления локальными серверами также является распространенной проблемой, для которой компаниям необходимо найти решение.

Как технология, встроенная в Windows для включения удаленного управления. компьютеров, RDP может быть простым решением таких проблем, но также может стать серьезным недостатком для организаций, если развернуто небезопасно.

RDP серьезная проблема усугубляется

Протокол RDP часто цель для заполнения учетных данных и других атак с использованием подбора паролей, основанных на списках общих имен пользователей и комбинаций паролей или на учетных данных, похищенных из других источников. Некоторые киберпреступники даже специализируются на продаже взломанных учетных данных RDP в качестве товара на подпольном рынке другим хакерам, которые используют их для развертывания вымогателей и криптоминантов или для совершения более изощренных атак, которые могут привести к краже конфиденциальных данных и более обширным сетевым компромиссам.

«McAfee ATR отмечает увеличение как количества атак на порты RDP, так и объема учетных данных RDP, продаваемых на подпольных рынках», — сообщили исследователи из охранной фирмы McAfee в новом отчете.

Компания отмечает, что количество портов RDP, открытых для Интернета, выросло с 3 миллионов в январе до более 4,5 миллионов в марте. Более трети из них находятся в США, а еще треть — в Китае. Более половины машин с открытыми портами RDP работают под управлением какой-либо версии Windows Server, но примерно в пятой — Windows 7, которая больше не поддерживается и не получает обновлений безопасности. Это вызывает озабоченность, поскольку помимо того, что RDP часто настраивается со слабыми паролями, он также видел свою долю уязвимостей и эксплойтов на протяжении многих лет.

Около половины всех учетных данных RDP, продаваемых на подземном рынке, относятся к машинам в Китае Далее следуют Бразилия, Гонконг, Индия и США. Количество учетных данных для базирующихся в США хостов RDP довольно низкое — 4% от общего числа, но McAfee считает, что это вероятно, потому что хакеры, которые их продают, не публикуют свои полные списки и хранят для себя более ценные учетные данные и хосты. или больше частных и выборочных продаж.

Всплеск атак RDP

Согласно другому недавнему отчету от поставщика услуг VPN Atlas VPN, начиная с 10 марта, число атак RDP значительно вырос в США, Испании, Италии, Германии, Франции, России и Китае. Похоже, это коррелирует с началом ограничений и блокировок перемещения населения, введенных во всем мире в ответ на пандемию COVID-19.

Во-первых, выставление RDP напрямую в Интернет является плохой практикой безопасности, даже если хорошая гигиена учетных данных, цифровые сертификаты и двухфакторная аутентификация. Медленное исправление всегда может привести к взлому серверов из-за уязвимости RDP. RDP всегда должен быть доступен только через безопасное VPN-подключение к корпоративной сети или через шлюз удаленного доступа с нулевым доверием.