Hakkerien kyky hyödyntää lähes kaikkia haavoittuvuuksia on yksi suurimmista haasteista lainvalvontaviranomaisille - ja pienille yrityksille. Federal Bureau of Investigation julkaisi äskettäin varoituksen yrityksille ja muille uhista. Hakkerit ovat alkaneet hyödyntää etätyöpöytäprotokollaa (RDP) suorittamaan haittaohjelmia useammin.
FBI: n mukaan etätyöpöytäprotokollan käyttö hyökkäysvektorina on lisääntynyt vuoden 2016 puolivälistä vuoden loppupuolelle. Suunnitelman mukaisten hyökkäysten nousu on johtunut osittain pimeistä markkinoista, jotka myyvät etätyöpöytäprotokollan käyttöoikeuksia. Nämä huonot toimijat ovat löytäneet keinoja tunnistaa ja hyödyntää haavoittuvia RDP-istuntoja Internetissä.
$config[code] not foundPienille yrityksille, jotka käyttävät RDP: tä hallitsemaan kotona tai toimistossa olevia tietokoneitaan, tarvitaan enemmän valppautta, kuten vahvojen salasanojen käyttöönotto ja niiden säännöllinen muuttaminen.
Ilmoituksessaan FBI varoittaa: ”RDP-protokollaa käyttävät hyökkäykset eivät edellytä käyttäjän syöttämistä, mikä tekee tunkeutumista vaikeaksi havaita.”
Mikä on Etätyöpöytäprotokolla?
Suunniteltu etäkäyttöön ja hallintaan, RDP on Microsoftin menetelmä sovellusten tiedonsiirron yksinkertaistamiseksi asiakkaiden, laitteiden, virtuaalisten työasemien ja etätyöpöytäprotokollan päätepalvelimen välillä.
Yksinkertaisesti sanottuna, RDP: n avulla voit hallita tietokonettasi etäyhteyden avulla hallita resursseja ja käyttää tietoja. Tämä ominaisuus on tärkeä pienille yrityksille, jotka eivät käytä pilvipalveluja ja luottavat tietokoneisiinsa tai palvelimiinsa, jotka on asennettu tiloihin.
Tämä ei ole ensimmäinen kerta, kun RDP on esittänyt turvallisuuskysymyksiä. Aiemmin varhaisversioilla oli haavoittuvuuksia, jotka saivat heidät alttiiksi keskimmäiselle hyökkäykselle, joka antoi hyökkääjille luvattoman pääsyn.
Vuosina 2002 ja 2017 Microsoft julkaisi päivityksiä, joissa vahvistettiin 24 suurta haavoittuvuutta etätyöpöytäprotokollan yhteydessä. Uusi versio on turvallisempi, mutta FBI: n ilmoituksessa korostetaan, että hakkerit käyttävät sitä edelleen hyökkäysten vektorina.
Etätyöpöytäprotokolla hakkerointi: haavoittuvuudet
FBI on tunnistanut useita haavoittuvuuksia - mutta kaikki alkaa heikoista salasanoista.
Virasto sanoo, että jos käytät sanakirjoja ja etkä sisällä isoja ja pieniä kirjaimia, numeroita ja erikoismerkkejä, salasanasi on alttiina brutaalivoimille ja sanakirjahyökkäyksille.
Vanhentunut etätyöpöytäprotokolla, jossa käytetään Credential Security Support Provider -protokollaa (CredSSP), aiheuttaa myös haavoittuvuuksia. CredSSP on sovellus, joka delegoi käyttäjän valtuudet asiakkaalta kohdepalvelimelle etätunnistusta varten. Vanhentunut maaseudun kehittämisohjelma mahdollistaa potentiaalisen hyökkäyksen.
Muita haavoittuvuuksia ovat rajoittamattoman pääsyn käyttäminen etätyöpöytäprotokollan oletusporttiin (TCP 3389) ja mahdollistamatta rajoittamattomat kirjautumisyritykset.
Etätyöpöytäprotokolla hakkerointi: Uhat
Nämä ovat muutamia esimerkkejä FBI: n luetelluista uhkista:
CrySiS Ransomware: CrySIS-ransomware kohdistuu ensisijaisesti Yhdysvaltojen yrityksiin avoimen RDP-portin kautta käyttämällä sekä brutaalivoimia että sanakirjahyökkäyksiä luvattoman etäyhteyden saamiseksi. CrySiS putoaa sitten lunastusohjelmansa laitteeseen ja suorittaa sen. Uhkailijat vaativat maksua Bitcoinissa vastineeksi salauksen purkuavaimesta.
CryptON Ransomware: CryptON ransomware hyödyntää bruttivoimahyökkäyksiä pääsemään RDP-istuntoihin, minkä jälkeen uhkailija voi suorittaa haittaohjelmia manuaalisesti vaarantuneessa koneessa. Cyber-toimijat pyytävät tyypillisesti Bitcoinia vastineeksi salauksen purkuohjeista.
Samsam Ransomware: Samsam ransomware käyttää laajan valikoiman käyttömahdollisuuksia, mukaan lukien ne, jotka hyökkäävät RDP: tä tukeviin koneisiin. Heinäkuussa 2018 Samsam uhkasi toimijoita hyökkäyksessä hyökkäykseen maaseudun kehittämissuunnitelman sisäänkirjautumistietoihin, jotta he voisivat tunkeutua terveydenhuoltoyritykseen. Ransomware pystyi salaamaan tuhansia koneita ennen havaitsemista.
Dark Web Exchange: Uhka-toimijat ostavat ja myyvät varastettuja RDP-kirjautumistietoja Dark Webissä. Valtakirjojen arvo määräytyy vaarantuneen koneen sijainnin, istunnossa käytetyn ohjelmiston ja mahdollisten lisäominaisuuksien perusteella, jotka lisäävät varastettujen resurssien käytettävyyttä.
Etätyöpöytäprotokolla hakkerointi: miten voit suojata itseäsi?
On tärkeää muistaa milloin tahansa, kun yrität käyttää jotain etänä, on olemassa riski. Ja koska Etätyöpöytäprotokolla ohjaa järjestelmää täysin, sinun pitäisi säännellä, seurata ja hallita sitä, kenellä on tiiviisti yhteys.
Toteuttamalla seuraavia parhaita käytäntöjä FBI ja USA: n sisäisen turvallisuuden osasto sanovat, että sinulla on paremmat mahdollisuudet RDP-pohjaisiin hyökkäyksiin.
- Ota käyttöön vahvat salasanat ja tilien lukituskäytännöt, jotta voidaan puolustaa voimattomia hyökkäyksiä vastaan.
- Käytä kahden tekijän tunnistusta.
- Käytä järjestelmä- ja ohjelmistopäivityksiä säännöllisesti.
- On luotettava varmuuskopiointistrategia, jossa on vahva elvytysjärjestelmä.
- Ota kirjaus käyttöön ja varmista kirjausmekanismit etäpöytäprotokollan kirjautumisten sieppaamiseksi. Pidä lokit vähintään 90 päivän ajan. Samalla tarkista kirjautumiset varmistaaksesi, että vain ne, joilla on pääsy, käyttävät niitä.
Voit tarkastella muita suosituksia täällä.
Tietosuojaa koskevat otsikot ovat säännöllisesti uutisia, ja se tapahtuu suurille organisaatioille, joilla on näennäisesti rajattomat resurssit. Pienyritysten suojaaminen saattaa olla mahdotonta suojata kaikista tietoverkkorikoksista, mutta voit minimoida riskin ja vastuun, jos sinulla on oikeat protokollat, joilla on tiukka hallinnointi kaikille osapuolille.
Kuva: FBI
