12 Июля 2020 12:13
Новости
  11:25    4.6.2020

Осторожно, удаленка: хакеры подключились к работе. Чужой

Осторожно, удаленка: хакеры подключились к работе. Чужой
pixabay.com
За время самоизоляции число компьютеров на Windows в России, уязвимых для попыток доступа по протоколу удаленного рабочего стола (RDP), выросло на 230%, до 101 тыс., подсчитали в DeviceLock. От атак могут защитить VPN-решения, но и они часто содержат уязвимости, предупреждают эксперты. Полученные подобным способом учетные записи в сетях компаний хакеры затем продают в даркнете всего по 300–500 руб (4-7 евро, прим. ред.) — на цену влияет высокое предложение, пишет kommersant.ru.
Число компьютеров на операционной системе Windows, потенциально уязвимых для попыток доступа по протоколу RDP, с начала апреля к концу мая выросло в России на 230%, составив 101 тыс., рассказали в DeviceLock. Быстрый рост связан с тем, что на фоне самоизоляции высокими темпами росло и количество серверов, в том числе и открытых для интернета, поясняет основатель и технический директор DeviceLock Ашот Оганесян.

По словам господина Оганесяна, большинство компаний позволяют подключаться по протоколу удаленного стола только по технологии VPN (Virtual Private Network, виртуальная частная сеть), при этом у небольшой доли серверов разрешена авторизация без пароля, что представляет значительную опасность для корпоративных сетей, предупреждает Ашот Оганесян. Но во всех популярных VPN-решениях тоже присутствуют уязвимости, которые могут стать дополнительной точкой отказа удаленной инфраструктуры, отмечает директор экспертного центра Positive Technologies Алексей Новиков. 

В целом с увеличением числа целей для атаки стало больше и киберинцидентов, подтверждает Алексей Новиков.
«С увеличением количества RDP на периметре появились новые цели для ботнетов, которые сканировали пространство»,— поясняет он. По его мнению, причиной этого стал быстрый переход на удаленную работу, когда первоочередной задачей для компаний было обеспечение работоспособности инфраструктуры, а вопросы информационной безопасности имели более низкий приоритет.

В рамках опроса, который Positive Technologies провела 7–14 апреля среди специалистов по информационной безопасности, более половины респондентов отметили, что в связи с пандемией удаленный доступ пришлось экстренно организовывать с нуля (11%) либо срочно масштабировать, так как раньше он был реализован только для некоторых сотрудников (41%).

При переходе на удаленную работу многие компании выбрали самый простой способ обеспечения доступа к инфраструктуре для сотрудников — протокол удаленного рабочего стола, говорил и руководитель отдела расследования киберинцидентов JSOC CERT компании «Ростелеком» Игорь Залевский на конференции "Ъ" 28 мая. По его словам, с ростом количества целей выросло и число попыток атак: если до апреля в среднем у одного заказчика услуг компании происходило от трех до пяти попыток подбора пароля к удаленному рабочему столу в день, то, например, 27 мая было от 9 до 12 таких попыток. Кроме того, в мае подобные атаки стали продолжаться дольше: теперь они длятся от двух до четырех часов без перерыва, хотя обычно злоумышленники старались подбирать пароли более короткими набегами в течение дня.

Как правило, для доступа в крупные компании с большим штатом отдела информационной безопасности злоумышленникам в среднем требуется полтора дня, отмечает Игорь Залевский.

Если злоумышленники проникли на сервер, то чаще всего сразу стараются создать новую учетную запись на нем, рассказывает господин Залевский, рекомендуя компаниям контролировать информацию о входах на сервер. Подобные точки доступа к инфраструктуре компаний затем продаются в даркнете по цене от 300 до 500 руб.: столь низкая цена обусловлена большим количеством предложений, уточняет эксперт. Также хакеры могут монетизировать точку входа в инфраструктуру организации с помощью шифрования: получив доступ в компанию, они требуют выкуп для дешифрования похищенных данных. Спасением в таких случаях может стать заблаговременное копирование информации.

Вирус открывает порты

Специалисты SentinelOne заметили, что новая версия вредоноса Sarwent открывает порты RDP на зараженных компьютерах. В итоге хакеры могут продавать доступ к зараженным хостам другим преступным группам, сообщает xakep.ru.

Sarwent представляет собой не слишком известный троян, активный с 2018 года. Предыдущие версии имели весьма ограниченный набор функций, например, могли загружать и устанавливать другое вредоносное ПО на скомпрометированные компьютеры. Однако более свежая вариация Sarwent получила два важных обновления.

Во-первых, малварь «научилась» выполнять кастомные CLI-команды с помощью Windows Command Prompt и PowerShell. Во-вторых, теперь Sarwent создает на зараженных машинах новую учетную запись пользователя Windows, включает службу RDP, а затем вносит изменения в настройки брандмауэра Windows, чтобы разрешить внешний доступ через RDP к зараженному хосту. Фактически это означает, что операторы Sarwent могут использовать созданную учетную запись для доступа к зараженному хосту и не будут блокированы локальным брандмауэром.

Исследователи отмечают, что пока новую версию Sarwent обнаруживали только в качестве вторичной инфекции при заражении компьютеров другой малварью, к примеру, Predator the Thief.

Оставить комментарий

4 главные под байкой - Читайте также

Читайте также

4 главные под байкой

Кнопка Телеграм в байках

топ 3 под байкой - Криминальный топ 3

Криминальный топ 3

топ 3 под байкой

  • Принят пакет мобильности для дальнобойщиков в ЕС: что изменится и когда (дополнено)

    Европарламент (ЕП) утвердил Пакет мобильности, который ужесточает правила деятельности автоперевозчиков. Теперь сокращенный отдых можно будет проводить в кабине грузовика, а вот отдых длительностью более 45 часов компаниям-перевозчикам придется организовывать вне автомобиля. И оплачивать помещение для этого будет работодатель. В таких помещениях должны быть места для сна и санузлы. Нововведения об…
  • Жалоба на техосмотр: "Ароматизатор и штатив для телефона признали помехами!" (3)

    Водитель в недоумении после попытки техосмотра на станции Дирекции безопасности дорожного движения (CSDD) в Валмиере: там штатив, прикрепленный к ветровому стеклу и ароматизатор на зеркале были расценены как существенные помехи, сообщает программа TV3 Bez Tabu.
  • Covid-19 у участника конгресса ЛФФ: "Решил провериться ради смеха" (дополнено)

    Вчера стало известно: в Латвии второй день подряд регистрируется семь новых случаев Covid-19. Если специалисты не отследят все источники новых заражений Covid-19 на этой неделе, на следующей неделе, вероятно, придется вернуться к более строгим ограничениям, указывает Центр профилактики и контроля заболеваний (SPKC).

Рекомендованно для вас

Криминальный топ 3

Криминальный топ 3

Комментарии

Комментарии