FBI upozorava tvrtke na hakere koji sve više zlorabe RDP veze

U javnom priopćenju koje je danas objavio američki Federalni istražni ured (FBI) Internet Centar za pritužbe protiv kriminala (IC3), FBI upozorava tvrtke na opasnosti ostavljanja izloženih krajnjih točaka RDP-a na liniji.

RDP je kratica za Remote Desktop Protocol, vlasničku tehnologiju koju je razvio Microsoft 90-ih godina i koja korisniku omogućuje prijavu na udaljeno računalo i komunicirati s njegovim OS-om putem vizualnog sučelja koje uključuje unos mišem i tipkovnicom --otuda i naziv "udaljena radna površina".

RDP pristup rijetko je omogućen na kućnim računalima, ali je često uključen za radne stanice u poslovnim mrežama ili za računala koja se nalaze na udaljenim lokacijama, gdje administratori sustava trebaju pristup, ali ne mogu pristupiti osoba.

Također: Istraživači su pronašli ranjivost u Appleovom MDM DEP procesu

U svom uzbuna, FBI spominje da je broj računala s RDP vezom koja su ostala dostupna na internetu porastao od sredine i kraja 2016.

Ova tvrdnja FBI-a u korelaciji je s brojevima i trendovima koje su prijavile tvrtke za kibernetičku sigurnost u posljednjih nekoliko godina. Na primjer, samo jedna tvrtka, Rapid7, izvijestila je da je početkom 2016. vidjela devet milijuna uređaja s omogućenim priključkom 3389 (RDP) na internetu, a taj se broj popeo na više od 11 milijuna do sredine do kraja 2017.

Hakeri također čitaju izvješća o kibernetičkoj sigurnosti. Rana upozorenja privatnog sektora o sve većem broju krajnjih točaka RDP-a privukla su pozornost hakera puno prije sistemskih administratora.

Posljednjih nekoliko godina postojao je stalni niz izvješća o incidentima u kojima su istražitelji pronašli da su hakeri dobili početno uporište na mrežama žrtava zahvaljujući preko računala s izloženim RDP-om veza.

Nigdje to nije bio veći slučaj nego u napadima ransomwarea. Tijekom protekle tri godine postojali su deseci obitelji ransomwarea koje su posebno dizajnirane da budu raspoređen unutar mreže nakon što su napadači stekli početno uporište, što je u mnogim slučajevima završilo kao RDP poslužitelj.

Ransomware posebno dizajniran za implementaciju putem RDP-a uključuje vrste kao što su CryptON, LockCrypt, Scarabey, Horsuke, SynAck, Bit Paymer, RSAUtil, Xpan, Crysis, Samas (SamSam), LowLevel, DMA Locker, Apocalypse, Smrss32, Bucbi, Aura/BandarChor, ACCDFISA i Globus.

Ovdje je samo jedan korisnik prepričavajući jedan događaj na Redditu gdje su hakeri provalili putem RDP-a i pokrenuli ransomware koji je šifrirao bezbroj njegovih sustava.

Također: IoT napadi postaju sve gori CNET

Postoje tri načina na koje hakeri obično upadaju. Najlakši način je kada sysadmini omoguće RDP pristup na poslužitelju i ne postavljaju lozinku. Svatko tko pristupi IP adresi tog računala na portu 3389 bit će upitan na ekranu za prijavu na koji se može prijaviti pritiskom na Enter.

Drugi način izveden je iz prvog, ali zahtijeva od napadača ili pogađanje vjerodajnica za prijavu (putem brute-force napad) ili korištenjem unaprijed sastavljenih popisa uobičajenih kombinacija korisničkog imena i lozinke (putem rječnika napadi).

Treća metoda također se oslanja na masovno skeniranje interneta, ali umjesto pogađanja vjerodajnica, napadači isporučuju eksploatacijski kod za poznate ranjivosti u RDP protokolu. Ako je port otkriven, hakeri ga mogu iskoristiti.

Prema Rapid7, između 2002. i kasne rane 2017. bilo je 20 Microsoftovih sigurnosnih ažuriranja posebno povezanih s RDP-om, ažuriranja koja su popravila 24 glavne ranjivosti. Zakrpe za RDP nastavljene su čak i nakon što je Rapid7 prestao brojati, a posljednji od ovih popravaka postavljen je ovog ožujka za greška u CredSSP-u, jedan od manjih protokola u sklopu RDP paketa.

Također: Kako pristupiti Microsoft Remote Desktopu na vašem Macu TechRepublic

U intervjuu za ZDNet o upozorenju FBI-a, Mark Dufresne, potpredsjednik, istraživanje prijetnji i prevencija u cyber-security Endgameu, podijelio je neke od svojih odnosa s prijetnjom RDP-a.

"RDP je dugo bio ugrađen u Windows i napadači su ga zlorabili otkako je postao naširoko implementiran", rekao je Dufresne za ZDNet.

"Možemo pogledati izvore poput greynoise.io kako bismo vidjeli da napadači neprestano traže otvorene RDP veze", dodao je. "Gotovo tisuću jedinstvenih IP-ova tražilo je RDP usluge slušajući na zadanom portu svaki dan tijekom prošlog tjedna."

Jednom kada napadači uđu, sve je poštena igra, osim ako nisu oprezni i sigurnosni proizvodi otkriju njihovu prisutnost.

Ali ne rezultiraju svi kompromisi RDP-a infekcijama ransomwareom, krađom podataka ili zlonamjernim ponašanjem. Neki od ljudi koji stoje iza ovih RDP skeniranja ne iskorištavaju uvijek hakirane sustave -- barem ne izravno -- i gomilaju hakirane RDP krajnje točke za prodaju na mreži.

Od sredine 2016., otprilike kada su tvrtke za kibernetičku sigurnost primijetile porast RDP poslužitelja, skupina hakera postavila je xDedic, web portal na kojem su oni i drugi kriminalci mogli prodavati ili kupovati te hakirane i nagomilane RDP sustave.

U početku se govorilo da je xDedic prevarantima omogućio pristup preko 70 000 hakiranih krajnjih točaka RDP-a, ali jedna godinu kasnije, unatoč medijskoj pažnji i pokušajima rušenja stranice, xDedicov RDP server pool je imao otišao do 85.000.

Ali xDedic je bio samo početak. Druge kopije "RDP trgovina" -- kako su postale poznate kao -- pojavile su se posvuda. Ovaj reporter prati neke od ovih usluga zadnjih nekoliko godina na Twitteru [ 1, 2, 3, 4, 5, 6].

Najnoviji od njih otkriven je ovog ljeta, u srpnju. Sigurnosni istraživači McAfeeja otkrili su da se bavi pristupom RDP radnim stanicama koje se nalaze na nekim prilično osjetljivim mjestima kao što su zračne luke, vlada, bolnice i starački domovi.

Ali te trgovine ne bi predstavljale problem ako ljudi u potpunosti ne prestanu izlagati krajnje točke RDP-a. Svojim upozorenjem FBI sada poziva tvrtke da osiguraju te sustave prije nego što bude prekasno i budu hakirani.

Zajedno s Odjelom za domovinsku sigurnost, dvije su agencije danas objavile sljedeće savjete u vezi s poboljšanjem sigurnosti RDP-a.

• Provjerite svoju mrežu za sustave koji koriste RDP za udaljenu komunikaciju. Onemogućite uslugu ako nije potrebna ili instalirajte dostupne zakrpe. Korisnici će možda morati surađivati ​​sa svojim dobavljačima tehnologije kako bi potvrdili da zakrpe neće utjecati na procese sustava.
• Provjerite da sve instance virtualnog stroja temeljene na oblaku s javnim IP-om nemaju otvorene RDP portove, posebno port 3389, osim ako za to ne postoji valjan poslovni razlog. Postavite bilo koji sustav s otvorenim RDP portom iza vatrozida i zahtijevajte od korisnika da koriste virtualnu privatnu mrežu (VPN) za pristup kroz vatrozid.
• Omogućite snažne lozinke i pravila zaključavanja računa za obranu od napada brutalnom silom.
• Primijenite dvostruku autentifikaciju, gdje je to moguće.
• Redovito primjenjivajte ažuriranja sustava i softvera.
• Održavajte dobru pričuvnu strategiju.
• Omogućite bilježenje i osigurajte da mehanizmi bilježenja hvataju RDP prijave. Čuvajte zapise najmanje 90 dana i redovito ih pregledavajte kako biste otkrili pokušaje upada.
• Prilikom stvaranja virtualnih strojeva temeljenih na oblaku, pridržavajte se najboljih praksi pružatelja usluga oblaka za daljinski pristup.
• Osigurajte da treće strane koje zahtijevaju RDP pristup moraju slijediti interna pravila o udaljenom pristupu.
• Smanjite izloženost mreže za sve uređaje upravljačkog sustava. Gdje je to moguće, kritični uređaji ne bi trebali imati omogućen RDP.
• Regulirajte i ograničite vanjske na interne RDP veze. Kada je potreban vanjski pristup unutarnjim resursima, upotrijebite sigurne metode, kao što su VPN-ovi, prepoznajući da su VPN-ovi sigurni onoliko koliko su sigurni povezani uređaji.

Prethodna i povezana izvješća:

Što je malware? Sve što trebate znati

Cyber ​​napadi i malware jedna su od najvećih prijetnji na internetu. Saznajte više o različitim vrstama zlonamjernog softvera - i kako izbjeći da postanete žrtva napada.

Sigurnost 101: Evo kako sačuvati privatnost svojih podataka, korak po korak

Ovaj jednostavan savjet pomoći će vam da se zaštitite od hakera i državnog nadzora.

VPN usluge 2018: Vrhunski vodič za zaštitu vaših podataka na internetu

Bilo da ste u uredu ili na putu, VPN je još uvijek jedan od najboljih načina da se zaštitite na velikom, lošem internetu.

FBI rješava misterij oko 15 godina starog zlonamjernog softvera Fruitfly Mac

Autor zlonamjernog softvera Fruitfly koristio je skeniranje portova sa slabim lozinkama ili bez njih kako bi identificirao potencijalne žrtve.

Upoznajte Torii, novi IoT botnet daleko sofisticiraniji od Mirai varijanti

IoT botnet koji se razvija može ugroziti impresivan niz arhitektura.

Tinejdžer Apple haker izbjegava zatvor zbog 'hacky hack hack' napada

Samoproglašeni obožavatelj Applea ukrao je otprilike 90 GB povjerljivih podataka od proizvođača iPada i iPhonea.

Povezane priče:

• Kako spriječiti probleme s autentifikacijom udaljene radne površine nakon nedavnih ažuriranja Windows poslužitelja TechRepublic
• Novi Linux 'Mutagen Astronomy' sigurnosni propust utječe na distribucije Red Hat i CentOS
• US ISP RCN pohranjuje korisničke lozinke u čistom tekstu
• Bug Firefoxa ruši vaš preglednik, a ponekad i vaše računalo
• Tisuće WordPress stranica sa zakulisnim vratima sa zlonamjernim kodom
• Mozilla izdaje Firefox Reality, svoj web preglednik za VR
• Tor Browser dobiva redizajn, prebacuje se na novi Firefox Quantum engine
• Firefox 62 pojavljuje se jer Mozilla ukida podršku za Windows XP
• Mozilla će blokirati praćenje oglasa u Firefoxu prema zadanim postavkama
• Guverner Kalifornije potpisao prvi zakon o sigurnosti interneta stvari u zemljiCNET
• Cheat sheet: Kako postati stručnjak za kibernetičku sigurnostTechRepublic