Протокол удаленного доступа (Remote Desktop Protocol, RDP) помогает злоумышленникам размещать шифровальщики в IT-инфраструктуре малых и средних компаний. Преступники взламывают слабые пароли и создают собственные аккаунты, чтобы контролировать ситуацию в организации при полной беспомощности средств безопасности.

Атаки проходят в несколько этапов. Сначала взломщики на специализированных поисковиках определяют уязвимый RDP-порт. Брутфорс-утилиты вроде NLBrute помогают подобрать пароль, после чего злоумышленникам открывается полный доступ к корпоративной сети. Далее взломщики создают аккаунты администратора, обеспечивая себе возможность авторизации, даже если IT-служба сменит скомпрометированный пароль.

После того как преступники закрепились в IT-инфраструктуре, они меняют настройки защитных систем, чтобы те не мешали зловреду. Зачастую взломщикам удается получить привилегированные права через уже закрытые уязвимости вроде CVE-2017-0213 или CVE-2016-0099. Наконец, чтобы жертва не смогла восстановить зашифрованные данные из бэкапа, злоумышленники отключают службы управления базами данных и системы резервного копирования. Компания остается беззащитной перед шифровальщиком. Если не деактивировать администраторский аккаунт злоумышленников, они смогут повторять процедуру по несколько раз, запуская шифровальщик как обычное приложение. За возвращение доступа к данным преступники требуют 1 BTC (более $8100 по курсу 21 ноября). Это значительно превышает средний выкуп, который составляет около $300.

В основном под удар попадает малый и средний бизнес — крупные компании способны выстроить защиту против этих достаточно примитивных методов атаки. Эксперты отмечают, что организациям следует внимательно подходить к настройке RDP, не включать протокол без лишней необходимости, использовать для удаленных подключений VPN и двухфакторную аутентификацию. Разумеется, нужно вовремя устанавливать все выходящие обновления и прививать сотрудникам культуру сложных паролей.

Судя по растущему количеству атак через RDP, огромное количество организаций пренебрегают этими технологиями. В начале 2017 года протокол удаленного доступа в два раза обошел электронную почту по популярности доставки зловредов — 66% против 33%. Этот метод обеспечивает преступникам полный контроль в течение всей атаки и позволяет не ждать, пока кто-нибудь из сотрудников откроет зараженное вложение или перейдет по опасной ссылке. В этом году удаленный доступ использовали такие зловреды, как Satan, Bucbi, Apocalypse, Shade. Атаки через RDP дают новую жизнь и тем вирусам, которые уже успели снизить активность. Так, именно через эту уязвимость шифровальщик Crysis смог в январе в два раза увеличить охват. При этом ключ к нему аналитики подобрали еще в сентябре прошлого года.

Категории: Вредоносные программы, Главное, Уязвимости, Хакеры