Ataki na pulpity zdalne. 98% z nich uderza w Virtual Network Computing

Przeczytaj także: Dzieje cyberprzestępczości: era nowoczesnego ransomware’u

Oprogramowanie do pulpitu zdalnego pozwala użytkownikom łączyć się z komputerem czy innym urządzeniem za pomocą sieci internetowej z dowolnego miejsca. Dzięki temu można kontrolować takie urządzenie na odległość. Narzędzia tego typu są pomocne w czasie pracy zdalnej. Bardzo często wykorzystują je działy wsparcia technicznego. Niestety stały się także popularnym celem ataków cybernetycznych.

Z danych Barracuda Networks wynika, że aż 98% działań cyberprzestępców atakujących rozwiązania dostępu do pulpitu zdalnego wymierzonych było w oprogramowanie VNC. Pozwala ono użytkownikom i urządzeniom łączyć się z serwerami, niezależnie od tego, z jakiego systemu operacyjnego korzystają. VNC jest szeroko stosowany w branżach infrastruktury krytycznej.

Najprostszą i najpowszechniejszą metodą ataku na oprogramowanie do pulpitu zdalnego, w tym VNC, jest zastosowanie słabych, wielokrotnie używanych lub przechwyconych poświadczeń. Dają one atakującemu natychmiastowy dostęp do systemów. Narzędzia do pulpitu zdalnego są również podatne na ataki wykorzystujące błędy w oprogramowaniu oraz oszustwa z obszaru fałszywego wsparcia technicznego – wyjaśnia Michał Zalewski, Solution Architect w firmie Barracuda Networks, która jest producentem rozwiązań z obszaru bezpieczeństwa IT.

Inne narzędzia atakowane przez cyberprzestępców

Drugim najczęściej atakowanym narzędziem był Remote Desktop Protocol (RDP), odpowiadający za około 1,6% wykrytych prób ataków. RDP to protokół do obsługi pulpitu zdalnego stworzony przez Microsoft.

Cyberprzestępcy przeprowadzający szerokie ataki na sieci i dane z większym prawdopodobieństwem wykorzystają RDP niż VNC. RDP są stosowane w kampaniach rozpowszechniających złośliwe oprogramowanie, w tym ransomware, w atakach typu DDoS czy też w atakach vishingowych, czyli telefonicznych phishingowych, podszywających się pod wsparcie Microsoft. Mają one na celu oszukanie użytkowników i przekonanie ich, że urządzenia, których używają, mają problemy techniczne. Atakujący obiecują, że je naprawią, jeśli użytkownicy udzielą im dostępu poprzez RDP – mówi Michał Zalewski.

Cyberprzestępcy atakowali też TeamViewer, Independent Computing Architecture (ICA), AnyDesk i Splashtop Remote.

Jak zabezpieczyć narzędzia do pulpitu zdalnego?

Firmy korzystają z różnych narzędzi do zdalnego pulpitu. Każde z nich używa innych portów, co sprawia, że zespołom bezpieczeństwa IT trudniej jest monitorować podejrzane połączenia i naruszenia. Praca na jednym rozwiązaniu do pulpitu zdalnego w całej organizacji pozwoli działom IT skoncentrować wysiłki na zarządzaniu, monitorowaniu i zabezpieczaniu powiązanych z nim portów dzięki zablokowaniu innego ruchu.

Firmy powinny wdrożyć rozwiązania bezpieczeństwa, które potrafią wykrywać podejrzany ruch w sieci. Ważne jest także ustanowienie skutecznych polityk bezpieczeństwa, zawierających między innymi zasadę ograniczenia dostępu do usług zdalnych tylko do tych osób, które go naprawdę potrzebują. Nie wolno zapominać o używaniu bezpiecznych połączeń, takich jak VPN, i regularnych aktualizacjach oprogramowania. Warto także wdrożyć silne, wieloskładnikowe uwierzytelnianie oraz wdrożyć w organizacji podejście Zero Trust – podsumowuje Michał Zalewski z Barracuda Networks.