RDP, Ransomware - проблемы, которые никуда не денутся
2020 год запомнится как один из самых сложных и трагических лет, с которыми человечество столкнулось в наше время. Глобальная пандемия изменила то, как мы живем и работаем, невероятным образом, возможно, навсегда.
Это также резко изменило ландшафт кибербезопасности. ФБР сообщило о 300-процентном росте киберпреступности в первом квартале того же года, а количество и стоимость атак с использованием программ-вымогателей выросли с беспрецедентной скоростью. Только в декабре 2020 года было зарегистрировано почти тридцать атак, включая печально известное требование на 34 миллиона долларов, которое было предъявлено электронному гиганту Foxconn.
Одна из основных причин быстрого роста числа этих атак - переход от безопасных офисных помещений к менее безопасным удаленным рабочим средам. До глобальной пандемии менее 4 процентов населения работали из дома. Однако джинн вышел из бутылки, и пути назад нет. Поэтому неудивительно, что недавний опрос Gallup показал, что 82 процента руководителей предприятий планируют более активно работать на дому (WFH) и после пандемии.
В то время как многие организации могут извлечь выгоду из более широкого выбора кандидатов на работу и снижения затрат на обслуживание и оборудование, для специалистов по безопасности среда работы на дому расширяет поверхность атаки, которую они должны защищать, и увеличивает риски фишинга, вредоносных программ и программ-вымогателей.
Целью сегодняшних организованных и изощренных киберпреступников, таких как те, что управляют Maze или Ryuk, является не отдельный компьютер, а вся сеть организации. Большинство всех атак программ-вымогателей получают доступ к сети жертвы с помощью «черного хода», который использует слабые места в программном обеспечении протокола удаленного рабочего стола (RDP) или способах его развертывания.
Об угрозе брутфорса RDP было много сообщений, и защита RDP была обязательной в течение нескольких лет, и тем не менее эти атаки продолжают приносить успех. Правда в том, что просто посоветовать людям усилить RDP недостаточно быстро. Защита от грубой силы должна быть больше, чем просто еще один пункт в постоянно растущем списке задач перегруженного работой системного администратора. Вместо этого нам нужно увидеть грубое форсирование RDP для того, что это такое, проблема обнаружения и ответа конечной точки (EDR), и обработать ее там.
Менее широко освещаются уязвимости, которые продолжают обнаруживаться в популярном программном обеспечении RDP. В 2020 году исследователи безопасности обнаружили двадцать пять уязвимостей в некоторых из самых популярных клиентов RDP, используемых предприятиями. К ним относятся:
Многие специалисты по безопасности могут не знать об обратных уязвимостях RDP, которые могут повлиять на удаленную машину, а не на хост, к которому подключен пользователь. Кропотливая работа по инвентаризации и исправлению ошибок остается как никогда важной.
https://blog.malwarebytes.com/malwarebytes-news/2021/02/rdp-the-ransomware-problem-that-wont-go-away/
Это также резко изменило ландшафт кибербезопасности. ФБР сообщило о 300-процентном росте киберпреступности в первом квартале того же года, а количество и стоимость атак с использованием программ-вымогателей выросли с беспрецедентной скоростью. Только в декабре 2020 года было зарегистрировано почти тридцать атак, включая печально известное требование на 34 миллиона долларов, которое было предъявлено электронному гиганту Foxconn.
Одна из основных причин быстрого роста числа этих атак - переход от безопасных офисных помещений к менее безопасным удаленным рабочим средам. До глобальной пандемии менее 4 процентов населения работали из дома. Однако джинн вышел из бутылки, и пути назад нет. Поэтому неудивительно, что недавний опрос Gallup показал, что 82 процента руководителей предприятий планируют более активно работать на дому (WFH) и после пандемии.
В то время как многие организации могут извлечь выгоду из более широкого выбора кандидатов на работу и снижения затрат на обслуживание и оборудование, для специалистов по безопасности среда работы на дому расширяет поверхность атаки, которую они должны защищать, и увеличивает риски фишинга, вредоносных программ и программ-вымогателей.
Целью сегодняшних организованных и изощренных киберпреступников, таких как те, что управляют Maze или Ryuk, является не отдельный компьютер, а вся сеть организации. Большинство всех атак программ-вымогателей получают доступ к сети жертвы с помощью «черного хода», который использует слабые места в программном обеспечении протокола удаленного рабочего стола (RDP) или способах его развертывания.
Об угрозе брутфорса RDP было много сообщений, и защита RDP была обязательной в течение нескольких лет, и тем не менее эти атаки продолжают приносить успех. Правда в том, что просто посоветовать людям усилить RDP недостаточно быстро. Защита от грубой силы должна быть больше, чем просто еще один пункт в постоянно растущем списке задач перегруженного работой системного администратора. Вместо этого нам нужно увидеть грубое форсирование RDP для того, что это такое, проблема обнаружения и ответа конечной точки (EDR), и обработать ее там.
Менее широко освещаются уязвимости, которые продолжают обнаруживаться в популярном программном обеспечении RDP. В 2020 году исследователи безопасности обнаружили двадцать пять уязвимостей в некоторых из самых популярных клиентов RDP, используемых предприятиями. К ним относятся:
FreeRDP, самый популярный клиент RDP с открытым исходным кодом на Github.
Встроенный клиент RDP от Microsoft с исполняемым файлом mstsc.exe
Rdesktop, еще один клиент RDP с открытым исходным кодом и клиент RDP по умолчанию в дистрибутивах Kali Linux
Многие специалисты по безопасности могут не знать об обратных уязвимостях RDP, которые могут повлиять на удаленную машину, а не на хост, к которому подключен пользователь. Кропотливая работа по инвентаризации и исправлению ошибок остается как никогда важной.
https://blog.malwarebytes.com/malwarebytes-news/2021/02/rdp-the-ransomware-problem-that-wont-go-away/
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Войдите или Зарегистрируйтесь чтобы комментировать.
Комментарии
UAS, крупнейший хакерский рынок украденных учетных данных RDP, допустил утечку имен входа и паролей для 1,3 миллиона текущих и ранее скомпрометированных серверов удаленного рабочего стола Windows.
Благодаря этой массовой утечке скомпрометированных учетных данных удаленного доступа исследователи впервые могут заглянуть в бурлящую экономику киберпреступности и могут использовать эти данные, чтобы выяснить причины предыдущих кибератак.
Сетевые администраторы также получат выгоду от новой услуги RDPwned, запущенной фирмой по кибербезопасности Advanced Intel, которая позволяет организациям проверять, были ли их учетные данные RDP проданы на рынке.
UAS, крупнейший рынок учетных данных RDP
UAS или «Ultimate Anonymity Services» - это торговая площадка, на которой продаются учетные данные для входа в удаленный рабочий стол Windows, украденные номера социального страхования и доступ к прокси-серверам SOCKS.
Что выделяет UAS, так это то, что это крупнейшая такая торговая площадка, которая выполняет ручную проверку проданных учетных данных RDP, предлагает поддержку клиентов и дает советы о том, как сохранить удаленный доступ к скомпрометированному компьютеру.
«Рынок функционирует частично как eBay - ряд поставщиков работают с рынком. У них есть отдельное место для входа в систему и загрузки взломанных RDP. Затем система проверит их, соберет информацию о каждом из них (ОС, доступ администратора? скорость интернета, процессор, память и т. д.), который добавлен в список ".
«Интерфейс поставщика предоставляет поставщикам статистику в реальном времени (что было продано, а что нет, что было продано, но было запрошено возмещение и т. Д.)».
«Они также оказывают поддержку, если по какой-то причине то, что вы купили, не работает. Они серьезно относятся к поддержке клиентов»
Приобретая украденные учетные записи RDP, злоумышленники могут искать взломанные устройства в определенной стране, штате, городе, почтовом индексе, интернет-провайдере или операционной системе, что позволяет им найти нужный им сервер.
Потенциальные покупатели могут глубже изучить каждый сервер, чтобы увидеть количество учетных записей Windows, скорость подключения к Интернету, оборудование сервера и многое другое, как показано ниже.
RDPwned: проверка, не скомпрометирован ли ваш RDP
Виталий Кремез запустил новый сервис под названием RDPwned, который позволяет компаниям и их администраторам проверять, указаны ли их серверы в базе данных.
"Торговая площадка связана с рядом громких нарушений и случаев использования программ-вымогателей по всему миру. Известно, что ряд групп программ-вымогателей покупают первоначальный доступ. Эта сокровищница данных о злоумышленниках позволяет взглянуть на экосистему киберпреступности, и подтверждаем, что ненадежные пароли и доступ к Интернету по протоколу RDP, остаются одной из основных причин взломов »,
«RDPwned также поможет выявить старые бреши, для которых они так и не обнаружили первоначального доступа. Для других это даст им шанс решить проблему безопасности, прежде чем она перерастет в брешь», - сказал Кремез BleepingComputer.
https://www.bleepingcomputer.com/news/security/logins-for-13-million-windows-rdp-servers-collected-from-hacker-market/
Корпорация Майкрософт выпустила экстренное внешнее обновление для устранения ошибки Windows Server, приводящей к подключению к удаленному рабочему столу и проблемам с производительностью.
«Возможно, вы также не сможете использовать удаленный рабочий стол для доступа к серверу. В некоторых случаях сервер может перестать отвечать».
Затронутые платформы включают Windows Server 2022, Windows Server 2019, Windows Server 2016 и Windows Server 2012 R2.
Обновления, устраняющие эту проблему, недоступны в Центре обновления Windows и не устанавливаются автоматически в уязвимых системах.
Вы также можете загрузить обновление из каталога Центра обновления Майкрософт. Администраторы предприятия могут импортировать это обновление в службы Windows Server Update Services (WSUS) вручную, используя инструкции, доступные в каталоге Центра обновления Майкрософт.
KB5010196 - это накопительное обновление, поэтому вам не придется развертывать предыдущие обновления Windows Server перед его установкой.
Исправление пока доступно не для всех затронутых версий Windows
В ноябре Microsoft выпустил дополнительные обновления для исправления проблем проверки подлинности, связанных со сценариями делегирования Kerberos, влияющими на контроллеры домена (DC), работающие под управлением поддерживаемых версий Windows Server.
Как пояснила Microsoft, в затронутых системах конечные пользователи не могут входить в службы или приложения с помощью единого входа (SSO) в локальной или гибридной среде Azure Active Directory.
Неделей ранее Microsoft пришлось выпустить еще один набор аварийных обновлений для решения проблем Windows 11 при открытии или использовании некоторых встроенных приложений и функций из-за просроченного цифрового сертификата Microsoft.
До этого, в прошлом году, компания также выпустила ряд внеплановых обновлений, чтобы исправить проблемы с печатью, сбои Wi-Fi, проблемы с открытием PDF, нулевой день Windows PrintNightmare и другую серию проблем с печатью.
https://www.bleepingcomputer.com/news/microsoft/emergency-windows-server-update-fixes-remote-desktop-issues/