2020 год запомнится как один из самых сложных и трагических лет, с которыми человечество столкнулось в наше время. Глобальная пандемия изменила то, как мы живем и работаем, невероятным образом, возможно, навсегда.

Это также резко изменило ландшафт кибербезопасности. ФБР сообщило о 300-процентном росте киберпреступности в первом квартале того же года, а количество и стоимость атак с использованием программ-вымогателей выросли с беспрецедентной скоростью. Только в декабре 2020 года было зарегистрировано почти тридцать атак, включая печально известное требование на 34 миллиона долларов, которое было предъявлено электронному гиганту Foxconn.

Одна из основных причин быстрого роста числа этих атак - переход от безопасных офисных помещений к менее безопасным удаленным рабочим средам. До глобальной пандемии менее 4 процентов населения работали из дома. Однако джинн вышел из бутылки, и пути назад нет. Поэтому неудивительно, что недавний опрос Gallup показал, что 82 процента руководителей предприятий планируют более активно работать на дому (WFH) и после пандемии.

В то время как многие организации могут извлечь выгоду из более широкого выбора кандидатов на работу и снижения затрат на обслуживание и оборудование, для специалистов по безопасности среда работы на дому расширяет поверхность атаки, которую они должны защищать, и увеличивает риски фишинга, вредоносных программ и программ-вымогателей.

Целью сегодняшних организованных и изощренных киберпреступников, таких как те, что управляют Maze или Ryuk, является не отдельный компьютер, а вся сеть организации. Большинство всех атак программ-вымогателей получают доступ к сети жертвы с помощью «черного хода», который использует слабые места в программном обеспечении протокола удаленного рабочего стола (RDP) или способах его развертывания.

Об угрозе брутфорса RDP было много сообщений, и защита RDP была обязательной в течение нескольких лет, и тем не менее эти атаки продолжают приносить успех. Правда в том, что просто посоветовать людям усилить RDP недостаточно быстро. Защита от грубой силы должна быть больше, чем просто еще один пункт в постоянно растущем списке задач перегруженного работой системного администратора. Вместо этого нам нужно увидеть грубое форсирование RDP для того, что это такое, проблема обнаружения и ответа конечной точки (EDR), и обработать ее там.

Менее широко освещаются уязвимости, которые продолжают обнаруживаться в популярном программном обеспечении RDP. В 2020 году исследователи безопасности обнаружили двадцать пять уязвимостей в некоторых из самых популярных клиентов RDP, используемых предприятиями. К ним относятся:

Цитата
FreeRDP, самый популярный клиент RDP с открытым исходным кодом на Github.
Встроенный клиент RDP от Microsoft с исполняемым файлом mstsc.exe
Rdesktop, еще один клиент RDP с открытым исходным кодом и клиент RDP по умолчанию в дистрибутивах Kali Linux

Многие специалисты по безопасности могут не знать об обратных уязвимостях RDP, которые могут повлиять на удаленную машину, а не на хост, к которому подключен пользователь. Кропотливая работа по инвентаризации и исправлению ошибок остается как никогда важной.

https://blog.malwarebytes.com/malwarebytes-news/2021/02/rdp-the-ransomware-problem-that-wont-go-away/