RDP, Ransomware - проблемы, которые никуда не денутся

отредактировано 18 фев Раздел: Уязвимости систем и приложений
2020 год запомнится как один из самых сложных и трагических лет, с которыми человечество столкнулось в наше время. Глобальная пандемия изменила то, как мы живем и работаем, невероятным образом, возможно, навсегда.

Это также резко изменило ландшафт кибербезопасности. ФБР сообщило о 300-процентном росте киберпреступности в первом квартале того же года, а количество и стоимость атак с использованием программ-вымогателей выросли с беспрецедентной скоростью. Только в декабре 2020 года было зарегистрировано почти тридцать атак, включая печально известное требование на 34 миллиона долларов, которое было предъявлено электронному гиганту Foxconn.

Одна из основных причин быстрого роста числа этих атак - переход от безопасных офисных помещений к менее безопасным удаленным рабочим средам. До глобальной пандемии менее 4 процентов населения работали из дома. Однако джинн вышел из бутылки, и пути назад нет. Поэтому неудивительно, что недавний опрос Gallup показал, что 82 процента руководителей предприятий планируют более активно работать на дому (WFH) и после пандемии.

В то время как многие организации могут извлечь выгоду из более широкого выбора кандидатов на работу и снижения затрат на обслуживание и оборудование, для специалистов по безопасности среда работы на дому расширяет поверхность атаки, которую они должны защищать, и увеличивает риски фишинга, вредоносных программ и программ-вымогателей.

Целью сегодняшних организованных и изощренных киберпреступников, таких как те, что управляют Maze или Ryuk, является не отдельный компьютер, а вся сеть организации. Большинство всех атак программ-вымогателей получают доступ к сети жертвы с помощью «черного хода», который использует слабые места в программном обеспечении протокола удаленного рабочего стола (RDP) или способах его развертывания.

Об угрозе брутфорса RDP было много сообщений, и защита RDP была обязательной в течение нескольких лет, и тем не менее эти атаки продолжают приносить успех. Правда в том, что просто посоветовать людям усилить RDP недостаточно быстро. Защита от грубой силы должна быть больше, чем просто еще один пункт в постоянно растущем списке задач перегруженного работой системного администратора. Вместо этого нам нужно увидеть грубое форсирование RDP для того, что это такое, проблема обнаружения и ответа конечной точки (EDR), и обработать ее там.

Менее широко освещаются уязвимости, которые продолжают обнаруживаться в популярном программном обеспечении RDP. В 2020 году исследователи безопасности обнаружили двадцать пять уязвимостей в некоторых из самых популярных клиентов RDP, используемых предприятиями. К ним относятся:
FreeRDP, самый популярный клиент RDP с открытым исходным кодом на Github.
Встроенный клиент RDP от Microsoft с исполняемым файлом mstsc.exe
Rdesktop, еще один клиент RDP с открытым исходным кодом и клиент RDP по умолчанию в дистрибутивах Kali Linux

Многие специалисты по безопасности могут не знать об обратных уязвимостях RDP, которые могут повлиять на удаленную машину, а не на хост, к которому подключен пользователь. Кропотливая работа по инвентаризации и исправлению ошибок остается как никогда важной.

https://blog.malwarebytes.com/malwarebytes-news/2021/02/rdp-the-ransomware-problem-that-wont-go-away/

Комментарии

  • отредактировано 22 апр PM
    Логины для 1,3 миллиона серверов Windows RDP, собранных с хакерского рынка


    UAS, крупнейший хакерский рынок украденных учетных данных RDP, допустил утечку имен входа и паролей для 1,3 миллиона текущих и ранее скомпрометированных серверов удаленного рабочего стола Windows.

    Благодаря этой массовой утечке скомпрометированных учетных данных удаленного доступа исследователи впервые могут заглянуть в бурлящую экономику киберпреступности и могут использовать эти данные, чтобы выяснить причины предыдущих кибератак.

    Сетевые администраторы также получат выгоду от новой услуги RDPwned, запущенной фирмой по кибербезопасности Advanced Intel, которая позволяет организациям проверять, были ли их учетные данные RDP проданы на рынке.

    UAS, крупнейший рынок учетных данных RDP

    UAS или «Ultimate Anonymity Services» - это торговая площадка, на которой продаются учетные данные для входа в удаленный рабочий стол Windows, украденные номера социального страхования и доступ к прокси-серверам SOCKS.

    Что выделяет UAS, так это то, что это крупнейшая такая торговая площадка, которая выполняет ручную проверку проданных учетных данных RDP, предлагает поддержку клиентов и дает советы о том, как сохранить удаленный доступ к скомпрометированному компьютеру.

    «Рынок функционирует частично как eBay - ряд поставщиков работают с рынком. У них есть отдельное место для входа в систему и загрузки взломанных RDP. Затем система проверит их, соберет информацию о каждом из них (ОС, доступ администратора? скорость интернета, процессор, память и т. д.), который добавлен в список ".

    «Интерфейс поставщика предоставляет поставщикам статистику в реальном времени (что было продано, а что нет, что было продано, но было запрошено возмещение и т. Д.)».

    «Они также оказывают поддержку, если по какой-то причине то, что вы купили, не работает. Они серьезно относятся к поддержке клиентов»

    Приобретая украденные учетные записи RDP, злоумышленники могут искать взломанные устройства в определенной стране, штате, городе, почтовом индексе, интернет-провайдере или операционной системе, что позволяет им найти нужный им сервер.

    Потенциальные покупатели могут глубже изучить каждый сервер, чтобы увидеть количество учетных записей Windows, скорость подключения к Интернету, оборудование сервера и многое другое, как показано ниже.

    rdp-server-details.jpg

    RDPwned: проверка, не скомпрометирован ли ваш RDP

    Виталий Кремез запустил новый сервис под названием RDPwned, который позволяет компаниям и их администраторам проверять, указаны ли их серверы в базе данных.

    "Торговая площадка связана с рядом громких нарушений и случаев использования программ-вымогателей по всему миру. Известно, что ряд групп программ-вымогателей покупают первоначальный доступ. Эта сокровищница данных о злоумышленниках позволяет взглянуть на экосистему киберпреступности, и подтверждаем, что ненадежные пароли и доступ к Интернету по протоколу RDP, остаются одной из основных причин взломов »,

    «RDPwned также поможет выявить старые бреши, для которых они так и не обнаружили первоначального доступа. Для других это даст им шанс решить проблему безопасности, прежде чем она перерастет в брешь», - сказал Кремез BleepingComputer.

    https://www.bleepingcomputer.com/news/security/logins-for-13-million-windows-rdp-servers-collected-from-hacker-market/
Войдите или Зарегистрируйтесь чтобы комментировать.