По словам господина Оганесяна, большинство компаний позволяют подключаться по протоколу удаленного стола только по технологии VPN (Virtual Private Network, виртуальная частная сеть), при этом у небольшой доли серверов разрешена авторизация без пароля, что представляет значительную опасность для корпоративных сетей, предупреждает Ашот Оганесян. Но во всех популярных VPN-решениях тоже присутствуют уязвимости, которые могут стать дополнительной точкой отказа удаленной инфраструктуры, отмечает директор экспертного центра Positive Technologies Алексей Новиков.
В целом с увеличением числа целей для атаки стало больше и киберинцидентов, подтверждает Алексей Новиков.
«С увеличением количества RDP на периметре появились новые цели для ботнетов, которые сканировали пространство»,— поясняет он. По его мнению, причиной этого стал быстрый переход на удаленную работу, когда первоочередной задачей для компаний было обеспечение работоспособности инфраструктуры, а вопросы информационной безопасности имели более низкий приоритет.
В рамках опроса, который Positive Technologies провела 7–14 апреля среди специалистов по информационной безопасности, более половины респондентов отметили, что в связи с пандемией удаленный доступ пришлось экстренно организовывать с нуля (11%) либо срочно масштабировать, так как раньше он был реализован только для некоторых сотрудников (41%).
При переходе на удаленную работу многие компании выбрали самый простой способ обеспечения доступа к инфраструктуре для сотрудников — протокол удаленного рабочего стола, говорил и руководитель отдела расследования киберинцидентов JSOC CERT компании «Ростелеком» Игорь Залевский на конференции "Ъ" 28 мая. По его словам, с ростом количества целей выросло и число попыток атак: если до апреля в среднем у одного заказчика услуг компании происходило от трех до пяти попыток подбора пароля к удаленному рабочему столу в день, то, например, 27 мая было от 9 до 12 таких попыток. Кроме того, в мае подобные атаки стали продолжаться дольше: теперь они длятся от двух до четырех часов без перерыва, хотя обычно злоумышленники старались подбирать пароли более короткими набегами в течение дня.
Как правило, для доступа в крупные компании с большим штатом отдела информационной безопасности злоумышленникам в среднем требуется полтора дня, отмечает Игорь Залевский.
Если злоумышленники проникли на сервер, то чаще всего сразу стараются создать новую учетную запись на нем, рассказывает господин Залевский, рекомендуя компаниям контролировать информацию о входах на сервер. Подобные точки доступа к инфраструктуре компаний затем продаются в даркнете по цене от 300 до 500 руб.: столь низкая цена обусловлена большим количеством предложений, уточняет эксперт. Также хакеры могут монетизировать точку входа в инфраструктуру организации с помощью шифрования: получив доступ в компанию, они требуют выкуп для дешифрования похищенных данных. Спасением в таких случаях может стать заблаговременное копирование информации.
Вирус открывает порты
Специалисты SentinelOne заметили, что новая версия вредоноса Sarwent открывает порты RDP на зараженных компьютерах. В итоге хакеры могут продавать доступ к зараженным хостам другим преступным группам, сообщает xakep.ru.
Sarwent представляет собой не слишком известный троян, активный с 2018 года. Предыдущие версии имели весьма ограниченный набор функций, например, могли загружать и устанавливать другое вредоносное ПО на скомпрометированные компьютеры. Однако более свежая вариация Sarwent получила два важных обновления.
Во-первых, малварь «научилась» выполнять кастомные CLI-команды с помощью Windows Command Prompt и PowerShell. Во-вторых, теперь Sarwent создает на зараженных машинах новую учетную запись пользователя Windows, включает службу RDP, а затем вносит изменения в настройки брандмауэра Windows, чтобы разрешить внешний доступ через RDP к зараженному хосту. Фактически это означает, что операторы Sarwent могут использовать созданную учетную запись для доступа к зараженному хосту и не будут блокированы локальным брандмауэром.
Исследователи отмечают, что пока новую версию Sarwent обнаруживали только в качестве вторичной инфекции при заражении компьютеров другой малварью, к примеру, Predator the Thief.