Cyberprzestępcy stają się coraz bardziej agresywni w swoich próbach włamania do usług RDP, starając się wykorzystać słabe hasła używane w sieciach przedsiębiorstw.

Brute-force znowu w modzie

W sieciach komputerowych obserwuje się właśnie wyjątkowo agresywne bombardowania niezliczonymi wręcz próbami ataków na hasła. Najróżniejsi źli lidzie próbują wykorzystać wzrost popularności protokołu zdalnego pulpitu (RDP) i innych usług chmurowych w środowiskach korporacyjnych. Badacze cyberbezpieczeństwa z firmy ESET wykryli 55 miliardów nowych prób ataków typu brute-force tylko między majem a sierpniem 2021 roku. Jest to ponad dwukrotnie więcej niż 27 miliardów ataków wykrytych między styczniem a kwietniem tego samego roku.

Skuteczne odgadywanie haseł może zapewnić cyberprzestępcom łatwą drogę do sieci i możliwość wykorzystania jej do przeprowadzenia dalszych ataków, w tym dostarczenia ransomware lub innego złośliwego oprogramowania. Po wejściu do sieci będą próbowali wykorzystać ten dostęp, aby uzyskać dodatkowe uprawnienia i manipulować zasobami sieciowymi, chociażby wyłączając usługi bezpieczeństwa aby ułatwić sobie prowadzenie dalszych, agresywnych działań.

Remote Desktop Protocol

Jednym z najpopularniejszych celów ataków polegających na wyłudzaniu haseł są usługi RDP. Wzrost popularności pracy zdalnej doprowadził do zwiększenia liczby osób, które muszą korzystać z usług zdalnych pulpitów. Wiele z nich to usługi publiczne, dające cyberprzestępcom możliwość włamania się do sieci - i jest to okazja, którą chętnie wykorzystują.

Już sama liczba ataków wskazuje na to, że większość z nich jest zautomatyzowana. Ale nie oznacza to, że przez to są mało skuteczne. Jeśli konta są zabezpieczone prostymi do odgadnięcia lub powszechnie stosowanymi hasłami - a wiele z nich jest takich - to mogą stanowić łatwy łup dla atakujących. Gdy hasło zostanie już skutecznie złamane (czyt.: odgadnięte), atakujący prawdopodobnie podejmie dalsze, bardziej wyrafinowane działania, aby osiągnąć swój cel.

Ondrej Kubovič, specjalista ds. świadomości bezpieczeństwa w firmie ESET, zauważa:

Przy liczbie ataków liczonej w miliardach, nie da się tego przeprowadzić ręcznie - dlatego próby ataków są zautomatyzowane. Oczywiście, zawsze istnieje aspekt manualny, kiedy cyberprzestępcy konfigurują lub dostosowują infrastrukturę ataku i określają, jakie rodzaje celów obdarzą swoim zainteresowaniem.

Poza atakami na usługi RDP, cyberprzestępcy biorą na celownik również publiczne usługi SQL i SMB. Usługi te często są zabezpieczone domyślnymi hasłami, które atakujący mogą wykorzystać.

Kiepskie hasła

Jednym z powodów, dla których ataki brute-force są skuteczne, jest fakt, że tak wiele kont jest zabezpieczonych prostymi, jednowyrazowymi hasłami. Wymaganie bardziej złożonych haseł może w znacznym stopniu zapobiec naruszaniu kont w atakach brute-force. Brytyjskie Narodowe Centrum Cyberbezpieczeństwa (National Cyber Security Centre) sugeruje, aby użytkownicy używali trzech łatwych do zapamiętania słów jako hasła - coś, co jest znacznie bardziej odporne na ataki brute-force niż pojedyncze słowo.

Organizacje mogą również zapewnić dodatkową warstwę ochrony przed atakami typu brute-force polegającymi na zgadywaniu hasła - oraz innymi kampaniami - wdrażając uwierzytelnianie wieloczynnikowe (MFA). Zastosowanie MFA oznacza, że nawet jeśli napastnicy znają prawidłowe hasło, istnieje dodatkowa bariera uniemożliwiająca im automatyczny dostęp do sieci.