2 Сентября 2025 04:27
Новости
  11:25    4.6.2020

Осторожно, удаленка: хакеры подключились к работе. Чужой

Осторожно, удаленка: хакеры подключились к работе. Чужой
pixabay.com
За время самоизоляции число компьютеров на Windows в России, уязвимых для попыток доступа по протоколу удаленного рабочего стола (RDP), выросло на 230%, до 101 тыс., подсчитали в DeviceLock. От атак могут защитить VPN-решения, но и они часто содержат уязвимости, предупреждают эксперты. Полученные подобным способом учетные записи в сетях компаний хакеры затем продают в даркнете всего по 300–500 руб (4-7 евро, прим. ред.) — на цену влияет высокое предложение, пишет kommersant.ru.
Число компьютеров на операционной системе Windows, потенциально уязвимых для попыток доступа по протоколу RDP, с начала апреля к концу мая выросло в России на 230%, составив 101 тыс., рассказали в DeviceLock. Быстрый рост связан с тем, что на фоне самоизоляции высокими темпами росло и количество серверов, в том числе и открытых для интернета, поясняет основатель и технический директор DeviceLock Ашот Оганесян.

По словам господина Оганесяна, большинство компаний позволяют подключаться по протоколу удаленного стола только по технологии VPN (Virtual Private Network, виртуальная частная сеть), при этом у небольшой доли серверов разрешена авторизация без пароля, что представляет значительную опасность для корпоративных сетей, предупреждает Ашот Оганесян. Но во всех популярных VPN-решениях тоже присутствуют уязвимости, которые могут стать дополнительной точкой отказа удаленной инфраструктуры, отмечает директор экспертного центра Positive Technologies Алексей Новиков. 

В целом с увеличением числа целей для атаки стало больше и киберинцидентов, подтверждает Алексей Новиков.
«С увеличением количества RDP на периметре появились новые цели для ботнетов, которые сканировали пространство»,— поясняет он. По его мнению, причиной этого стал быстрый переход на удаленную работу, когда первоочередной задачей для компаний было обеспечение работоспособности инфраструктуры, а вопросы информационной безопасности имели более низкий приоритет.

В рамках опроса, который Positive Technologies провела 7–14 апреля среди специалистов по информационной безопасности, более половины респондентов отметили, что в связи с пандемией удаленный доступ пришлось экстренно организовывать с нуля (11%) либо срочно масштабировать, так как раньше он был реализован только для некоторых сотрудников (41%).

При переходе на удаленную работу многие компании выбрали самый простой способ обеспечения доступа к инфраструктуре для сотрудников — протокол удаленного рабочего стола, говорил и руководитель отдела расследования киберинцидентов JSOC CERT компании «Ростелеком» Игорь Залевский на конференции "Ъ" 28 мая. По его словам, с ростом количества целей выросло и число попыток атак: если до апреля в среднем у одного заказчика услуг компании происходило от трех до пяти попыток подбора пароля к удаленному рабочему столу в день, то, например, 27 мая было от 9 до 12 таких попыток. Кроме того, в мае подобные атаки стали продолжаться дольше: теперь они длятся от двух до четырех часов без перерыва, хотя обычно злоумышленники старались подбирать пароли более короткими набегами в течение дня.

Как правило, для доступа в крупные компании с большим штатом отдела информационной безопасности злоумышленникам в среднем требуется полтора дня, отмечает Игорь Залевский.

Если злоумышленники проникли на сервер, то чаще всего сразу стараются создать новую учетную запись на нем, рассказывает господин Залевский, рекомендуя компаниям контролировать информацию о входах на сервер. Подобные точки доступа к инфраструктуре компаний затем продаются в даркнете по цене от 300 до 500 руб.: столь низкая цена обусловлена большим количеством предложений, уточняет эксперт. Также хакеры могут монетизировать точку входа в инфраструктуру организации с помощью шифрования: получив доступ в компанию, они требуют выкуп для дешифрования похищенных данных. Спасением в таких случаях может стать заблаговременное копирование информации.

Вирус открывает порты

Специалисты SentinelOne заметили, что новая версия вредоноса Sarwent открывает порты RDP на зараженных компьютерах. В итоге хакеры могут продавать доступ к зараженным хостам другим преступным группам, сообщает xakep.ru.

Sarwent представляет собой не слишком известный троян, активный с 2018 года. Предыдущие версии имели весьма ограниченный набор функций, например, могли загружать и устанавливать другое вредоносное ПО на скомпрометированные компьютеры. Однако более свежая вариация Sarwent получила два важных обновления.

Во-первых, малварь «научилась» выполнять кастомные CLI-команды с помощью Windows Command Prompt и PowerShell. Во-вторых, теперь Sarwent создает на зараженных машинах новую учетную запись пользователя Windows, включает службу RDP, а затем вносит изменения в настройки брандмауэра Windows, чтобы разрешить внешний доступ через RDP к зараженному хосту. Фактически это означает, что операторы Sarwent могут использовать созданную учетную запись для доступа к зараженному хосту и не будут блокированы локальным брандмауэром.

Исследователи отмечают, что пока новую версию Sarwent обнаруживали только в качестве вторичной инфекции при заражении компьютеров другой малварью, к примеру, Predator the Thief.

Оставить комментарий

4 главные под байкой - Читайте также

Читайте также

4 главные под байкой

  • В соцсетях предлагают купить фальшивые купюры. Европол о задержаниях

    В Латвии засветился продавец фальшивых купюр - предлагает в соцсетях банкноты номиналом 20 и 50 евро. За несколько сотен евро якобы можно получить несколько тысяч поддельных, но очень качественных - из Нидерландов... Фоном к этому идет сообщение о масштабной операции с участием Европола на прошлой неделе - в нескольких странах…
  • Задержано около 100 кг наркотиков и груз сигарет (7)

    14 августа на основании полученной оперативной информации стражи порядка задержали в Озолайнской волости (Резекненский край) мужчину 1975 г.р., подозреваемого в совершении преступлений, связанных с наркотиками и контрабандой, сообщает полиция.
  • За въезд какого россиянина из "черного списка" предлагали 100 000 евро

    Бюро по борьбе и предотвращению коррупции (ББПК, KNAB) сообщает, что задержало двух человек, которым суд избрал меру пресечения в виде заключения под стражу, по делу о подготовке к передаче взятки в размере 100 000 евро должностному лицу Министерства внутренних дел Латвии по поручению гражданина России, внесенного в "черный список".
  • Контрабанда: как "забывают" декларировать сигареты, сумки Chanel, ювелирку (дополнено) (9)

    Судебный портал Tiesas.lv приводит поучительные примеры дел о контрабанде, который недавно прошли через латвийские суды. И напоминает:"Контрабанда — это незаконный ввоз или вывоз товаров через государственную границу в обход таможенных правил и уплаты налогов".

Кнопка Телеграм в байках

топ 3 под байкой - Криминальный топ 3

Криминальный топ 3

топ 3 под байкой

Рекомендованно для вас

Криминальный топ 3

Криминальный топ 3

Комментарии

Комментарии