Numărul de atacuri de tip brute-force care vizează conexiuni Remote Desktop a crescut, principala atracţie pentru infractorii cibernetici sunt datele confidenţiale ale companiilor, de pe urma cărora încearcă să obţină foloase financiare, avertizează Centrul Naţional de Răspuns la Incidente de Securitate Cibernetică (CERT-RO).
Specialiştii CERT-RO subliniază că sesiunile RDP funcţionează pe un canal criptat, împiedicând pe oricine să vadă sesiunea utilizatorului. Cu toate acestea, există o vulnerabilitate în metoda folosită pentru criptarea sesiunilor, în versiunile anterioare ale RDP. Această vulnerabilitate poate permite accesul neautorizat la sesiunea utilizatorului, folosind un atac de tipul man-in-the-middle.
Odată ce compromit conexiunile Remote Desktop, atacatorii pot să distribuie malware, să fure date sau să se deplaseze lateral într-o reţea, pentru recunoaştere şi atacuri ulterioare.
În ultimele săptămâni, CERT-RO a fost sesizat de o serie de companii şi instituţii din România cu privire la acest gen de atacuri (ransomware), care le-au produs prejudicii de ordin financiar.
Pentru a evita producerea unor asemenea incidente, administratorii de reţea ar trebui să ţină seama de o serie de recomandări de securitate, astfel: actualizarea software-ului; schimbarea portului de ascultare implicit (3389). RDP foloseşte ca port implicit 3389; modificarea portului de ascultare va ajuta la ascunderea conexiunii de la distanţă de atacatorii care scanează reţeaua pentru staţii care ascultă portul implicit Desktop Remote (TCP 3389); folosirea unor parole puternice; restricţionarea accesului prin firewall; activarea NLA (Network Level Authentication); limitarea numărului de utilizatori care se pot conecta via RDP; stabilirea unei politici clare de blocare a contului (în cazul multiplelor eşuări în procesul de conectare)