In questo periodo di lockdown, in tanti continuano ad accedere da remoto ai dispositivi presenti in ufficio e ovviamente i criminal hacker ne approfittano per prendere di mira le risorse aziendali e gli strumenti usati dai dipendenti. Ecco le tecniche di attacco usate e i consigli per difendersi
Una soluzione molto popolare per accedere ai sistemi aziendali a distanza è il Remote Desktop Protocol di Windows (RDP) che consente di accedere alle postazioni di lavoro Windows o ai server da casa.
Sfortunatamente, molti dei server RDP utilizzati per aiutare gli smart worker sono direttamente esposti a Internet e, se mal configurati, corrono il rischio di esporre il network aziendale a cyber attacchi.
Gli attacchi brute force
In questo tipo di attacchi, vengono utilizzati strumenti automatizzati per inserire combinazioni di nomi utente e password da elenchi di credenziali precedentemente compromesse durante data breach passati.
Una volta che gli aggressori indovineranno la combinazione giusta, avranno pieno accesso alla macchina bersaglio e, di solito, utilizzeranno questo accesso per rubare informazioni sensibili, per installare malware o spostarsi lateralmente all’interno della rete dell’organizzazione per trovare obiettivi più preziosi e stabilire silenziosamente la loro permanenza nel network.
Un attacco di forza bruta, per sua natura, non è chirurgico nell’approccio, ma opera per area e combinazione massiva di username e password.
Dal canto loro, i criminal hacker, in seguito alla transizione di massa verso il lavoro da remoto, hanno concluso logicamente che il numero di server RDP mal configurati sarebbe aumentato, da cui l’aumento del numero di attacchi.
Il trend di crescita degli attacchi, può essere più facilmente spiegato come serie di tentativi opportunistici di sfruttare ciò che gli aggressori vedono come un vettore di attacco in crescita (anche se i fatti dicono che gli RDP insicuri non sono sproporzionalmente aumentati) contro le aziende che devono fornire ai loro dipendenti l’accesso remoto alle risorse IT aziendali.
Gli attacchi di forza bruta sono particolarmente temuti perché spesso costituiscono anche il primo step negli attacchi ransomware, gli esempi più recenti sono Dharma e DoppelPaymer, che costringono i server RDP esposti e mal configurati delle aziende a distribuire i loro payload dannosi.
In modo speculare, i criminal hacker dietro queste due varianti ransomware inizieranno anche a cercare altri server RDP sulla stessa rete e, secondo un rapporto Microsoft del mese scorso, si faranno strada con la forza bruta anche in quelli, spostandosi lateralmente verso altri sistemi e disattivando i controlli di sicurezza ovunque possibile, dopo una fase di ricognizione della rete.
Come difendersi
È importante ricordare che l’utilizzo di RDP per accedere alle postazioni di lavoro o ai server a distanza non è qualcosa da scartare a priori, anzi, ma la loro corretta configurazione deve essere il primo punto d’attenzione quanto si decide di utilizzarli.
Ecco alcune misure e best practice per rendere sicuro il protocollo RDP:
- utilizzare password forti;
- rendere disponibile l’RDP solo attraverso una VPN aziendale;
- utilizzare l’autenticazione a livello di rete (NLA);
- se possibile, abilitare l’autenticazione a due fattori;
- se non si utilizza RDP, disattivarla e chiudere la porta 3389.
- Si dovrebbero anche abilitare i criteri di blocco degli account per intercettare eventuali attacchi di forza bruta, poiché questi bloccheranno temporaneamente i login sugli account dopo un certo numero di tentativi falliti.
ACTS
Via Bellini,2 36030 Caldogno (VI)
Tel. +39 0444 800235
P.IVA 03290290240
REA VI 314615
email: info@acts.com