Ежедневно происходит до миллиона атак brute force на RDP-соединения

Ежедневно происходит до миллиона атак brute force на RDP-соединения
Два месяца назад число людей, работающих на дому, резко возросло. Удаленная работа теперь стала новой нормой для многих компаний по всему миру. Хотя это изменение было вызвано пандемией Covid-19 , для многих организаций удаленная работа, вероятно, останется постоянной частью их корпоративной культуры.

Чтобы облегчить удаленную работу, многие компании пользуются подключением к удаленному рабочему столу. Сотрудники могут использовать эти соединения для доступа к рабочему столу своего рабочего компьютера из любого места: таким образом, они могут работать так, как если бы они физически присутствовали в офисе перед своим компьютером. Однако использование таких подключений чревато рядом серьезных угроз безопасности.

Атаки brute force против RDP
Одним из наиболее распространенных способов подключения к удаленным рабочим столам является RDP (Remote Desktop Protocol) – это собственный протокол корпорации Microsoft, доступный во всех версиях Windows, начиная с XP.

В последние недели резко возросло количество атак типа brute force (автоматический подбор логина и пароля пользователя) на соединения по протоколу RDP. Речь идет об автоматизированных атаках, целью которых является захват рабочего стола корпоративного компьютера и проникновение через него в корпоративную сеть. Если бы кибер-преступник сумел проникнуть на компьютер в корпоративной сети через удаленный рабочий стол, то он мог бы сделать на нем все то, что может сделать законный сотрудник, включая доступ к конфиденциальным данным и использование корпоративной электронной почты. Нелегитимное использование корпоративных адресов электронной почты может способствовать развитию целевых фишинговых атак (spear phishing). Этот внезапный рост числа атак, несомненно, связан с беспрецедентным количеством людей, работающих на дому.

Даже до текущего момента такого рода RDP-атаки были чрезвычайно распространены: ежедневно предпринималось около 150 000 попыток. Однако с начала марта, когда в мире вступили в силу более строгие меры карантина и самоизоляции, ежедневно стало регистрироваться почти миллион попыток атак типа brute force на RDP -соединения.

TrickBot облегчает RDP - атаки
Неслучайно в марте пресловутый троян TrickBot обзавелся новым модулем rdpScanDll, который используется для проведения атак brute force на RDP-соединения. Этот модуль использовался при атаках на многие компании и организации, включая сектор образования и финансовых услуг.

Опасности протокола RDP
Наблюдающийся всплеск атак на RDP – это не единственная проблема безопасности, с которой данный протокол столкнулся в последние годы. В мае 2019 года в старых версиях протокола была обнаружена серьезная уязвимость под названием BlueKeep. Всего через месяц после ее обнаружения была замечена активная кампания , использующая эту уязвимость. Затем, в августе того же года, в протоколе были обнаружены четыре новые уязвимости .

Защитите Ваше RDP -подключение
RDP-соединения являются идеальным вектором атаки для кибер-преступников: плохо защищенное RDP-соединение может обеспечить им доступ ко всей корпоративной системе. По этой причине защита таких соединений должна быть приоритетом для любой компании, которая использует их для работы в данный момент.

Чтобы защитить конечные устройства от атак brute force, важно использовать новый, надежный и безопасный пароль, а не использовать повторно старые пароли. Этот последний момент особенно важен, когда речь заходит о предотвращении атак с использованием украденных учетных данных (credential stuffing attack), с помощью которых злоумышленники пытаются получить доступ к корпоративным системам с помощью пароля, полученного в результате утечки данных в прошлом. Такие атаки похожи на атаки типа brute force.

Полностью отказаться от RDP-подключений для многих компаний не является подходящим решением, по крайней мере, прямо сейчас. Это означает, что компаниям необходимо иметь возможность контролировать абсолютно все действия на своих конечных устройствах, чтобы иметь возможность обнаружения любой подозрительной активности с RDP. Комплексное решение Panda Adaptive Defense постоянно контролирует все активности каждого системного процесса. В дополнение к остановке любого неизвестного процесса, он отслеживает поведение известных процессов. Таким образом, он может остановить любое вредоносное использование легитимных программ и инструментов.


RDP-соединения значительно облегчают удаленную работу для огромного количества компаний. Убедитесь, что они должным образом защищены.

Оригинал статьи: One million brute force attacks on RDP connections every day

Panda Security в России и СНГ
+7(495)105 94 51, marketing@rus.pandasecurity.com
https://www.cloudav.ru



B2B brute force rdp
Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

Panda Security в России и СНГ

Новости и события компании. Информационная безопасность IT-устройств дома, малого и среднего бизнеса, антивирусы.