Ataki brute-force na sesje RDP, najbardziej w kość dostaje sektor medyczny

13 lutego, 2017

We wrześniu 2016 roku badacze z Trend Micro (ci sami, których blog poruszający zagadnienia bezpieczeństwa został zhakowany) wykryli ransomware Crysis, którego metoda rozprzestrzeniania była nietypowa – nie polegała (jak w większości przypadków) na wysyłaniu wiadomości typu spam – ale na słownikowych atakach (brute force) na komputery z włączoną usługą zdalnego pulpitu (ang. RDP, Remote Desktop Protocol). Eksperci porównali ilość ataków z okresu Q1 2016 – Q1 2017 i odkryli, że ich liczba podwoiła się. Najbardziej cierpi sektor opieki medycznej w Stanach Zjednoczonych ze względu na przechowywane informacje, które są niezbędne do prawidłowego funkcjonowania szpitali, planowania operacji, wglądu w historie chorób pacjentów, i które po zaszyfrowaniu będą na tyle istotne, że funkcjonowanie placówki medycznej może być znacznie utrudnione.

rdp ransomware 1
Zaatakowano także cele z sektora telekomunikacyjnego, finansowego, rządowego, edukacyjnego i przemysłowego.

Po siłowym odgadnięciu haseł i zalogowaniu się do zdalnego komputera, przestępcy tworzyli udostępniony w ramach sesji RDP folder, który służył im do przesyłania złośliwego oprogramowania na urządzenie ofiary:

rdp ransomware 2
Ustawienia dla udostępnionego folderu w ramach sesji RDP.
rdp ransomware 3
Czasami włączali nawet schowek systemowy, który był współdzielony pomiędzy zainfekowanym, a zdalnym komputerem.

Obie metody pozwalają przekopiować pliki pomiędzy komputerami, dlatego warto sobie uświadomić, że przestępcy tak samo jak szyfrować pliki, mogą je po prostu kraść. Próba ataku nie uda się, jeśli agresorzy przy użyciu powszechnie stosowanych nazw użytkowników i haseł nie zdołają się uwierzytelnić. Ale jeśli ustalą prawidłową kombinację danych, z całą pewnością powrócą i zdołają sporo namieszać.

Moja organizacja korzysta z RDP, co zrobić?

  • zmienić domyślny port z TCP 3389 na wyższy znany tylko osobom upoważnionym,
  • używać niebanalnego hasła,
  • włączyć Network Level Authentication (NLA) i w ustawieniach serwera pulpitu zdalnego zezwolić na połączenia z NLA (jeśli logowanie odbywa się tylko z maszyn Windows),
  • ograniczyć użytkowników, którzy mogą zdalnie logować się via RDP,
  • skonfigurować RDP Gateway,
  • wykorzystać dodatkowe uwierzytelnienie, np. za pomocą Yubikey,
  • wyłączyć RDP jeśli nie jest wykorzystywany.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.
Adrian Ścibor

Adrian Ścibor

W ramach działań związanych z cyberbezpieczeństwem odpowiada w AVLab za przeprowadzanie testów rozwiązań ochronnych przed zagrożeniami. Opracowuje strategie oraz narzędzia, które pomagają w ochronie danych i systemów przed cyberatakami. Współuczestnik międzynarodowej grupy non-profit AMTSO, która zrzesza ekspertów IT.

PODZIEL SIĘ:

Czy ten artykuł był pomocny?

Średnia ocena: 5 / 5. Liczba głosów: 1

guest
1 Komentarz
najstarszy
najnowszy oceniany
Inline Feedbacks
View all comments

Wyrażam zgodę na przesłanie oferty drogą telefoniczną przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

Wyrażam zgodę na przesłanie oferty drogą mailową przez IT Partners security sp. z o.o. z siedzibą Katowicach ul.Padereskiego 35 na podany przeze mnie adres e-mail zgodnie z ustawą z dnia 10 maja 2018 roku o ochronie danych osobowych (Dz. Ustaw z 2018, poz. 1000) oraz zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).

[ninja_tables id=”27481″]