Число атак на удаленные рабочие столы методом подбора паролей выросло в апреле в пять раз по сравнению с февралем, подсчитали в «Лаборатории Касперского». Такими атаками занимаются начинающие хакеры, продавая доступ в корпоративную инфраструктуру более продвинутым коллегам, объясняют специалисты по кибербезопасности: число этих предложений на черном рынке серьезно выросло.
В апреле количество атак на инфраструктуру российских организаций, чьи сотрудники работают удаленно, превысило 18 млн, что в пять раз больше, чем в феврале, рассказали “Ъ” в «Лаборатории Касперского». Речь идет об атаках методом перебора паролей на устройства с операционной системой Windows, поддерживающие протокол удаленного доступа RDP.
Злоумышленники подбирают логин и пароль от учетной записи сотрудника, чтобы войти в корпоративную инфраструктуру, поясняет антивирусный эксперт «Лаборатории Касперского» Дмитрий Галов.
По его словам, такие атаки самые простые, хакеры используют, например, словари популярных паролей или пароли из «утекших» баз данных. Перебор пароля используется в среднем в 70% атак на удаленные рабочие столы по протоколу RDP, уточняет директор центра мониторинга и реагирования на киберугрозы Solar JSOC компании «Ростелеком» Владимир Дрюков, подтверждая, что сейчас наблюдается рост подобных атак.
До 48% паролей сотрудников организаций составлено из комбинации слова, обозначающего время года либо месяц, и четырех цифр, обозначающих год, выяснили в Positive Technologies. Такие пароли подбираются по словарям за считаные минуты, хотя формально соответствуют парольной политике, отмечает руководитель отдела аналитики информационной безопасности Positive Technologies Евгений Гнедин.
Получив доступ, хакер может, например, запустить в корпоративную сеть вирус-шифровальщик, чтобы предложить руководству выкупить код расшифровки, рассказывает Дмитрий Галов.
Менее опытные хакеры продают данные для доступа более продвинутым коллегам, говорит руководитель направления аналитики и спецпроектов ГК InfoWatch Андрей Арсентьев. За последние месяцы на черном рынке выросло число предложений доступа в корпоративную инфраструктуру по цене от $5–10 до десятков тысяч долларов, отмечает он.
По итогам первого квартала 2020 года число предложений о продаже доступов по всему миру на 69% превысило показатели предыдущего квартала, уточняет Евгений Гнедин. Всплеск подобных атак в «Лаборатории Касперского» связывают с поспешным переходом на удаленку: IT-службы компаний больше заботились об организации удаленного рабочего места, чем о его безопасности.
Для защиты от атак «Лаборатория Касперского» рекомендует компаниям использовать корпоративный VPN и двухфакторную аутентификацию, а сотрудникам — ставить сложные пароли. При этом, по данным Positive Technologies, только каждая десятая организация будет вводить двухфакторную аутентификацию, большая часть компаний надеется, что удаленная работа скоро закончится, и не готова вкладываться в организацию безопасного удаленного доступа.