RDP

  • Цените на крадени акаунти падат. Защо трябва да се притесняваме от това?

    Цените на потребителски акаунти (комбинация от потребителско име и парола) намаляват през 2020 г. Тенденцията е притеснителна, защото това може да означава няколко неща – и нито едно от тях хубаво.

    Първо статистиката: цената на откраднати  данни за достъп до RDP (протоколът за отдалечен достъп до работни станции и сървъри) е спаднала до 16-25 USD при средно над 20 USD за цялата 2019 г.

    Според всички пазарни правила, това сигнализира за все по-голямо предлагане на данни за отдалечен достъп. Което пък предполага нарастване на броя на злонамерените атаки към корпоративни мрежи – вече забелязана тенденция, която сме коментирали нееднократно.

    Пандемията през 2020 г. накара все повече служители да работят от вкъщи и да се свързват към сървърите на организацията си или към работните си станции от разстояние чрез RDP. Всеки пропуск в защитата на RDP акаунт или сървър може да предостави на хакерите достъп до корпоративна мрежа, чрез откраднати или лесно пробити пароли.

    Основната причина за лесен достъп до идентификационни данни за вход в RDP е, че те са лошо защитени с често използвани и слаби пароли, както и с прости за отгатване потребителски имена като „администратор“. Единственото средство за противодействие от страна на корпорациите е засилването на киберзащитата им.

     

  • COVID-19 пандемията е довела до двоен ръст в RDP атаките срещу индустриални системи

    Двоен ръст в brute-force атаките срещу индустриални системи през RDP протокола отчитат от Kaspersky за месеците между февруари и май (когато беше пикът на първата вълна на пандемията от COVID-19).

    Според публикуваната статистика (виж по-долу) през май 2020 г. са засечени опити за brute-force пробив в 0.33% от индустриалните системи, които компанията защитава. За същия месец на миналата година цифрата е била 0.17%. Подобни (макар и по-ниски) ръстове се забелязват особено през април и юни.

  • Microsoft спря критични Remote Desktop Services уязвимости в Windows

    Microsoft е отстранила две нови Remote Desktop Services (RDS) уязвимости в Windows, съобщават от bleepingcomputer.com. Подобно на Blue Keep, те могат да бъдат експлоатирани и чрез тях да бъде получен отдалечен администраторски достъп до компрометираните машини.

    CVE-2019-1181 и CVE-2019-1182 засягат Windows 7 SP1, Windows Server 2008 R2 SP1, Windows Server 2012, Windows 8.1, Windows Server 2012 R2 и всички поддържани модификации на Windows 10, включително сървърните му версии.

    Remote Desktop Protocol (RDP) не е засегнат от уязвимостите,  както и Windows XP, Windows Server 2003 и Windows Server 2008.

    В Remote Desktop Services (познат преди като Terminal Services) е открита уязвимост, която позволява изпълнение на код от страна на атакуващия, когато той е автентикиран посредством  RDP. Уязвимостта не изисква действия от страна на потребителя, за да бъде експлоатирана. Тя позволява на атакуващия да инсталира програми, преглежда, редактира или изтрива данни, както и да създава нови потребители на засегнатата система с пълни права. (вижте пълното съобщение тук)

    Препоръчваме да инсталирате необходимите ъпдейти колкото се може по-скоро.

    Съвети за сигурно ползване на RDP прочетете тук.

     

  • Колко струва едно компютърно престъпление на черния пазар?

    До 2021 г. киберпрестъпленията ще струват 6 трлн. долара според проучване на Cybersecurity Ventures. В тази зашеметяваща сума се включват не само печалбите на хакерите, но и всички разходи, които възникват покрай всяко отделно компютърно престъпление.

    Когато една организация бъде заразена с рансъмуер, плащането на откуп не е единственият разход, който прави. Тя плаща за възстановяване на информационните системи и възстановяване на бизнес процеси. Това може да струва милиони. Атланта например трябваше да отдели 17 млн. долара от своя бюджет, за да погаси щетите, причинени от рансъмуера SamSam.

    Компютърни престъпления като услуга

    По-притеснителното обаче е, че днес почти всеки може да се превърне в киберпрестъпник. Моделът cybercrime as a service позволява на човек с компютър и достъп до интернет да си плати, за да използва готови инструменти за осъществяване на кибератаки.

    Или пък да си купи данни за достъп до критична инфраструктура като сървъри и информационни системи.

    А какво да кажем за възможността да се купят крадени акаунти за платежни услуги за части от стойността им?

    „Инструментите са налице. Уменията са налице. Нужни са само 2-3000 долара, за да може някой да се занимава с компютърни престъпления“, казва Питър Трейвън, специален агент на ФБР.

    А понякога и много по-малко. Компанията за информационна сигурност ESET дава пример с някои от най-популярните незаконни услуги, които се предлагат на черния пазар. Цените им варират от няколко долара до почти $ 2000.

    Криптовируси под наем

    На кого му е притрябвало да си пише сам криптовирус, когато може просто да си наеме такъв? Срещу определена сума желаещите получават готова онлайн услуга с интерфейс, който не изисква почти никакви технически познания.

    Един такъв криптовирус е Ranion, който се предлага като онлайн услуга с месечни и годишни абонаментни планове. Срещу 1900 долара потребителят получава за една година пълна функционалност на рансъмуера, включително и опция за техническа помощ, ако е необходимо. Предлагат се и месечни планове за по 120 долара, както и други ценови оферти според нуждите и желанията на клиентите.

    Друг популярен модел е този на споделените приходи. Това означава, че използването на рансъмуера е напълно безплатно, но авторите му вземат като комисион част от всеки платен откуп.

    Споделени бот мрежи

    Някои престъпници изграждат бот мрежи, които след това отдават под наем. Потребителите плащат, за да използват тяхната изчислителна мощ за извършване на DDOS атаки.

    Цената на услугата зависи от продължителността на атаката, както и от трафика, който ще се генерира. Ако например някой иска да осъществи тричасова DDOS атака, това ще му струва около 60 долара.

    В много случаи целта на тези DDOS атаки е да се извади от строя определен сървър или да се използват срещу популярни онлайн игри като Fortnite.

    Достъп до хакнати сървъри

    Има незаконни сайтове, които предлагат данни за достъп до сървъри от цял свят чрез RDP. Цените са пословично ниски и варират между 8 и 15 долара. В тези сайтове могат да се намерят и данни за достъп до сървъри в България.

    Търсачките на сайтовете предлагат доста детайлно сегментиране. Може да се избира сървър по местоположение или операционна система.

    Един от най-популярните такива сайтове xDedic беше свален от Европол и ФБР през януари 2019 г. Там се продаваха данните за достъп до десетки хиляди сървъри от повечето страни по света. Европол оценява щетите от xDedic на около 68 млн. долара.

    Да си купиш краден PayPal

    Престъпниците рядко използват PayPal акаунтите, които са хакнали, тъй като това е свързано с определени рискове. Вместо това те ги препродават на други престъпници.

    Сделката е рискована (ако те хванат), но за сметка на това доходна. Според ESET цената на един хакнат PayPal акаунт е около 10% от стойността на парите в него. Така че ако някой иска да си купи краден акаунт с 2000 долара в него, той ще трябва да плати около 200 долара.

  • Шест начина да осигурите сигурна работна среда във фирмата

    Киберзаплахите еволюират постоянно и поставят бизнеса пред огромно предизвикателство. Наличието на антивирусен софтуер на служебните лаптопи вече съвсем не е достатъчно условие, за да се предпази компанията от компютърно престъпление. Необходими са много повече превантивни мерки, които да спрат или поне да намалят риска от заплахи.

    Самата природа на заплахите се е променила. Преди 20 години основната цел на компютърните вируси беше да нанесат поражения на информационните системи. Днес различните видове малуер се ползват с цел финансова изгода. Достатъчно красноречиви доказателства са криптовирусите, които заключват данните ви и ги освобождават срещу откуп; както и cryptojacking атаките, които използват хардуерните ресурси във фирмата, за да добиват криптовалути за чужда сметка.

    Заплахите са разнообразни и използват различни вектори на атака, затова и защитата на информационната сигурност трябва да е комплексна. В тази статия ще разгледаме 5 начина, по които можете да защитите компанията от киберзаплахи; или поне да минимизирате рисковете и последствията от тях.

    Политики и процедури за сигурност

    Всяка компания, която работи с информация, трябва да има ясно зададени политики и процедури за информационна сигурност. Те следва да са разписани и комуникирани със служителите, както и да следи за спазването им.

    Политиките за информационна сигурност дават възможност за бърза и адекватна реакция при информационен пробив или друг проблем. Те представляват карта с инструкции, която може да се следва в непредвидени случаи. Така служителите знаят как да действат в зависимост от ситуацията: какви мерки да се вземат, какво да се и да не се прави, какви права за достъп до данни има всеки служител и т.н.

    Обучения на служителите

    Служителите са най-слабото звено в информационната сигурност на всяка организация. Техническите обучения им дават необходимите познания, за да идентифицират сами най-популярните онлайн заплахи като фишинг. Ето защо инвестицията в обучения се отплаща, особено предвид факта, че социалното инженерство все още е основния инструмент на повечето компютърни престъпници.

    Инвестицията в обучения засяга и технически грамотните служители. Системните администратори трябва постоянно да надграждат уменията си и да придобиват нови такива.

    Защита на отдалечен достъп и VPN

    Отдалеченият достъп до информационните системи във фирмата трябва да е добре защитен. Уязвимостите в RDP (Remote Desktop Protocol) са добре известни на хакерите и често се експлоатират, за да се получи достъп до компютър или сървър, а от там и до цялата мрежа.

    Когато служител  достъпва от разстояние информационни ресурси на фирмата, това трябва да става през VPN. Тази технология дава сигурност и конфиденциалност и предпазва от кражба на информация. Като допълнителна превантивна мярка може да ограничите броя на IP адресите и мрежите, които имат достъп до RDP.

    Бекъп план и възстановяване на данните

    Ако по някаква причина изгубите данните си – дали заради хакерска атака, природно бедствие или амортизация на сървърите – резервното копие на информацията ще ви помогне да се върнете към обичайния ритъм на работа, без да губите време и пари.

    Да имате резервно копие на данните не означава просто да сте копирали някъде информацията. Резервните копия не трябва да са само на данните, а на интернет свързаности, резервни устройства в случай на хардуерен проблем. Това ще ви гарантира, че при какъвто и да било проблем, бизнесът ви да може да възобнови нормалната си дейност максимално бързо.

    Многофакторна автентикация

    Многофакторната автентикация намалява рисковете от неоторизиран достъп до информационните ресурси на организацията.

    Повечето информационни системи по подразбиране са защитени с парола, но тя може да бъде разбита. Многофакторната автентикация действа като втори защитен слой. С нея се удостоверява самоличността на този, който достъпва информационните ресурси.

    По този начин се намалява риска от кражба на чувствителна информация – независимо дали от външни лица или злонамерени служители.

    Антивирусен софтуер

    Антивирусните програми днес имат много по-разширени функции, отколкото преди две десетилетия. Днес те трябва да могат да засичат широк кръг от заплахи, включително вируси, троянски коне, червеи, спам, фишинг и т.н.

    Ето защо постоянното обновяване на антивирусното решение в офиса е критично важно. Нови видове заплахи се появяват постоянно и няма как антивирусният софтуер да защитава работните станции, ако не е обновен и с достъп до база данни с новооткритите видове малуер.

  • Как таргетираните атаки с рансъмуер се превърнаха в нелегален бизнес за милиони

    Приключващата 2018 г. ще бъде запомнена като годината на таргетираните кибератаки с рансъмуер. Ако преди няколко години престъпниците залагаха на масирани рансъмуер кампании, насочени към стотици хиляди потребителите, днес те предпочитат да атакуват отделни организации.

    Тази тактика се отплаща. Всъщност това е най-печелившата форма на компютърно престъпление според доклад на английската компания за киберсигурност Sophos. Тя дава за пример SamSam – опостушителен рансъмуер, който през първата половина на 2018 г. парализира дейността на няколко държавни институции в САЩ.

    Печалби за милиони

    Авторите на SamSam са спечелили поне 6.5 млн. долара от началото на 2016 г. досега, показват данните на Sophos. Но което е по-важно: те създадоха нов доходоносен модел на компютърно престъпление, който вече се копира и от други престъпници.

    Повечето видове рансъмуер искат като откуп суми между няколкостотин и хиляда долара. От появата си през 2016 г. SamSam вдигна мизата и  започна да иска между 10 и 50 хил. долара. Атакувайки слабозащитени машини и получавайки през тях достъп до цялата мрежа на организацията, престъпниците правят така, че жертвите да са склонни да си платят. „Атаката е толкова сериозна, че голяма част от жертвите предпочитат да платят откупа“, коментират от Sophos.

    Този модел бързо се разпространи. Хакерите започнаха да атакуват конкретни институции срещу петцифрени и дори шестцифрени суми. Авторите на рансъмуера BitPaymer например искат суми от 50 хил. долара до 1 млн. долара. Заразените с Ruyk институции получават искане за суми от порядъка на 100 хил. долара.

    Слабите места са навсякъде

    Някога защитата от вируси беше сравнително проста. Достатъчно беше антивирусната програма да засече зловреден инсталационен файл и да му попречи да се инсталира или разпространи към други устройства в мрежата.

    Сега инсталационният файл е само част от процеса на заразяване. Атаката може да започне с Word документ, прикачен в имейл. Сам по себе си документът е безобиден, но скритият в него макро скрипт сваля от интернет истинския малуер.

    Някои видове рансъмуер имат функционалността на компютърни червеи. Други използват уязвимости в операционнаата система или определени софтуерни продукти.

    Подобна сложност на атаките изисква комплексно решение за сигурност. То включва в себе си не само антивирусен софтуер, но и решение за политики за сигурност. С него могат да се налагат права и ограничения на всички устройства в мрежата, за да се намали риска от заразяване.

    Вектор на атака са и слабозащитените устройства, използващи Remote Desktop Protocol (RDP). Хакерите ги откриват, получават достъп до тях, а така и до цялата мрежа на организацията. Успехът им се дължи основно на факта, че самите организации не защитават добре сървърите си. Достъпът до тях става с лесни за отгатване пароли, а допълнителни защитни мерки като многофакторна автентикация се използват рядко.

    Всичко това показва, че бизнесът все още не е подготвен да се справи с таргетирани рансъмуер атаки. Превенцията изисква инвестиции в решения за сигурност, но преди всичко осъзнаване на мащабите на проблема. Докато това не се случи, престъпниците ще продължават да правят пари на гърба на чуждото нехайство.

  • Пет начина да намалите загубите за бизнеса от рансъмуер

    Рансъмуерът все още e една от основните кибер заплахи за бизнеса. За това подсказва и статистиката. Около 26% от кибер застраховките през 2017 г. са срещу рансъмуер според финансовата група AIG.

    Финансовите измерения на проблема също не са незначителни. Вземете за пример рансъмуера WannaCry, който взе жертви и в България. Точна оценка за загубите от този зловреден код няма, но според компанията за анализ и управление на риска Cyence щетите може да достигнат 4 млрд. долара.

    Все повече атаки с рансъмуер таргетират конкретна фирма, а целта е да се криптират данните й и след това да се иска откуп за тях. Някои от последните рансъмуер атаки засегнаха организации, управляващи критична инфраструктура като пристанища, енергийни мощности и общински администрации.

    Истината обаче е, че нито една фирма не е защитена от рансъмуер. Ето защо е важно да предприемете мерки, за да се предпазите от рансъмуер. Или от загубите, които ще последват при успешна атака.

    Създайте стратегия за бекъп и възстановяване на данните

    Много компании правят резервни копия на данните си. Това обаче не е достатъчно, за да ги спаси в случай на заразяване с рансъмуер. Всяка компания трябва да има стратегия за бекъп и възстановяване. Тя не включва само възстановяването на данните, а на цялостната среда на работа. Ако се ограничите само до бекъп на информацията, фирмата ви може да се окаже в ситуация, в която данните са възстановени, но информационните системи – не. Съответно целият бизнес не може да функционира. Стратегията за бекъп гарантира, че дори и рансъмуер атаката да е успешна, фирмата ще може да възобнови дейността си възможно най-бързо.

    Използвайте софтуер против рансъмуер

    Той наблюдава поведението на програмите и процесите, които се опитват да модифицират данните на служебните компютри. Ако засече съмнителни приложения или такива, които вече са идентифицирани като рансъмуер, софтуерът ги блокира.

    Защитете достъпа до информационните ресурси през RDP

    Remote Desktop Protocol (RDP) е популярна технология за отдалечен достъп до компютри. Само в България тя се използва от поне 6000 машини, показва справка в Shodan. Проблемът е, че RDP не е сигурна: паролите могат да се отгатват, а много администратори настройват системите така, че да са достъпни от всеки IP адрес на планетата. Ако хакер получи достъп до компютрите и сървърите на фирмата, той може да инсталира рансъмуер и да блокира информационните й системи. Ето защо добрата практика изисква да защитите достъпа през RDP до информационните ресурси на компанията.

    Обучения на служителите

    Голяма част от рансъмуер атаките стават заради неволни действия на служителите. Те получават имейл от непознат източник и решават да отворят прикачения в него файл, активирайки по този начин зловредния код. Едно обучение може да намали риска това да се случи.

    Не плащайте подкупа

    Практиката на повечето организации, които са пострадали от рансъмуер, е да не плащат искания откуп. Дори и да платите исканата сума, това не гарантира, че данните ви ще бъдат декриптирани. Вместо това може да получите искане за още пари. Плащането на откуп се счита за насърчване на престъпната дейност и затова препоръките са да не се прави.

Back to top button