A koronavírus-járvány második hulláma miatt ismét tömegek dolgoznak home office-ban, amit igyekeznek kihasználni a kiberbűnözők is, a távoli hozzáférést biztosító Távoli Asztali Protokoll (RDP) a harmadik negyedévben is az elsődleges célpontjuk volt az ESET elemzése szerint.
Az RDP (Remote Desktop Protocol) lehetővé teszi a felhasználók számára, hogy csatlakozzanak egy távoli Windows számítógéphez vagy szerverhez. Az évek során a kiberbiztonsági kutatók számos sebezhetőséget azonosítottak, ám az RDP használata valójában idén márciusban ugrott meg igazán. Ekkor ugyanis az otthonról dolgozó kollégáknak továbbra is hozzá kellett férniük a vállalati erőforrásokhoz a hálózaton keresztül, és sok szervezet úgy döntött, hogy ezt a Remote Desktop Protocol segítségével teszi lehetővé számukra.
A megnövekedett használat miatt a támadások száma is emelkedett: az előző negyedévhez képest 37 százalékkal nőtt az egyedi ügyfelek Távoli Asztali Protokoll kapcsolatai ellen irányuló támadási kísérletek száma. A támadók a rosszul védett távelérési eszközök előnyeit kihasználva hozzáférhetnek a vállalati hálózatokhoz. A Távoli Asztali Protokoll a leggyakoribb támadási cél, de fontos megjegyezni, hogy bármely távoli kapcsolatot létrehozó eszközben előfordulhatnak hasonló problémás biztonsági rések és sérülékeny beállítások. Korábban a TeamViewer, Kaseya és Citrix is került ilyen helyzetbe.
Az összes támadási kísérlet mennyisége pedig – beleértve annak minden fajtáját – rendkívüli, 140%-os növekedést mutatott a negyedév során, majd ennek végén rövid ideig tartóvisszaesés következett be. A világjárvány idején egyre több, nem megfelelő védelemmel rendelkező home office rendszer csatlakozott az internethez, és a bűnözők valószínűleg a zsarolóvírus-bandáktól merítettek ihletet az RDP támadásokhoz. Mégis, az ESET telemetriája szeptember végén határozott – bár sajnos csak ideiglenes – csökkenést dokumentált a támadások számában: csaknem 40 százalékos visszaesést. Mivel ezt a korlátozott ideig tartó csökkenést több régióban is észlelték, elképzelhető, hogy vagy a bűnözőkre, esetleg infrastruktúrájukra csaptak le a hatóságok, vagy áramszünet, karbantartás, egyéb technikai probléma adódott, esetleg egy másik, életképesebb, olcsóbb vagy könnyebben kihasználható támadási vektor vált elérhetővé, ami az egyik csoportot rövid ideig tartó újratervezésre késztette.
Ahhoz, hogy elkerülhessük a támadást, adatvesztést, tartsuk naprakészen szoftvereinket, és kombináljuk ezt a gyakorlatot egy megbízható, többrétegű végpontvédelmi termékkel – javasolják az ESET szakemberei. Nagyon fontos, hogy a rendszer automatikus frissítését mindig engedélyezzük és az automatikusan letöltődő javítócsomagok telepítését se halogassuk. Legyenek jól konfigurálva a szoftvereink. Emellett hasznos, ha nem kattintunk ismeretlen feladótól származó levélben érkező linkekre, mellékletekre. A vállalati adatbázisokhoz való hozzáféréshez erős jelszavakat használjunk, és készítsünk biztonsági másolatokat a fontos adatainkról. Munkáltatóként fontos, hogy engedélyezzük az RDP-hez való hozzáférést vállalati VPN-en keresztül, valamint a hálózati szintű hitelesítés (NLA) használatát távoli csatlakozás esetén. Emellett mindenképpen alkalmazzunk többfaktoros azonosítást.
Fontos megjegyezni, hogy a céges tűzfalon a távoli asztali eléréshez használatos port megnyitása a mai támadási trendek fényében egyáltalán nem javasolt, még akkor sem, ha a hozzáférést erős, egyedi jelszó védi. Az ilyen belépési pontok ugyanis a zsarolóvírus támadások gyakori célpontjai. Sajnos emellett úgy tűnik, a koronavírus elleni küzdelem kiemelt célpontjai lettek az egészségügyi intézmények, kórházak is, és ez jócskán megnehezíti a járvány elleni védekezést, az amúgy is leterhelt intézményeknek. Az egyre újabb fertőzések mögött egyértelműen az anyagi haszonszerzés áll mint cél, a követelt váltságdíjat pedig részben a titkosított adatok helyreállításáért, részben pedig még az elkódolás előtt ellopott bizalmas adatok nyilvánosságra hozatalának elkerüléséért követelik a bűnözők, és a modell egyelőre sajnos működik.
