В новом отчёте компании Sophos сказано о том, что хакеры используют RDP (компрометация протокола удалённого рабочего стола) в 90% случаев атак с применением программ-вымогателей. Британский поставщик средств безопасности проанализировал 150 случаев реагирования на инциденты, начиная с 2023 года, и обнаружил, что в 90% из них использовалось злоупотребление RDP, позволяющее злоумышленникам получить удалённый доступ к средам Windows.
Компания Sophos охарактеризовала уровень злоупотреблений RDP как «беспрецедентный» и заявила, что это частично объясняет, почему «внешние удалённые службы» были для злоумышленников самым популярным способом получения первоначального доступа при атаках программ-вымогателей – на их долю пришлось 65% случаев в прошлом году.
В одном случае злоумышленники успешно скомпрометировали одну и ту же жертву четыре раза в течение шести месяцев через открытые порты RDP. По словам Sophos, оказавшись внутри, хакеры смогли перемещаться по его сетям, загружая вредоносные двоичные файлы, отключая защиту конечных точек и устанавливая удалённый доступ.
RDP представляет несколько преимуществ для хакеров:
- Протокол чрезвычайно популярен среди сетевых администраторов.
- Злоумышленники могут использовать его для удалённого доступа без включения каких-либо сигналов тревоги AV или EDR.
- Протокол предлагает простой в использовании графический интерфейс.
- Служба часто неправильно настроена, то есть она общедоступна и защищена только с помощью учётных данных, которые легко взломать.
- Учётные записи с высоким уровнем привилегий иногда используются для RDP, что увеличивает возможный ущерб.
- Администраторы часто отключают функции безопасности, такие как аутентификация на уровне сети.
- Многие организации забывают сегментировать свои сети, что помогает злоумышленникам RDP.
«Внешние удалённые услуги являются необходимым, но рискованным требованием для многих предприятий. Злоумышленники понимают риски, которые представляют собой эти услуги, и активно стремятся подорвать их деятельность из-за награды, которая скрывается за ними
Разоблачение услуг без тщательного рассмотрения и снижения их рисков неизбежно приводит к компрометации. Злоумышленнику не потребуется много времени, чтобы найти и взломать открытый RDP-сервер, а без дополнительных мер контроля не потребуется и поиск сервера Active Directory, ожидающего на другой стороне», — заявил Джон Шайер, технический директор Sophos.
С полной версией отчёта можно ознакомиться по следующей ссылке.
Оригинал публикации на сайте CISOCLUB: "Sophos: хакеры используют RDP в 90% случаев атак с применением программ-вымогателей".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.