Wouter Hoeffnagel - 14 december 2020

Meer RDP-aanvallen door groter aantal thuiswerkers

Meer RDP-aanvallen door groter aantal thuiswerkers image

Door het coronavirus moesten mensen wereldwijd noodgedwongen veel meer online gaan uitvoeren, bijvoorbeeld bij het werken vanuit huis. Het afgelopen jaar zijn hierdoor nieuwe dreigingen ontstaan en bestaande dreigingen versterkt. Zo ontdekte Kaspersky een groei van 242% in het aantal brute force aanvallen op externe desktopprotocollen (RDP) in vergelijking met vorig jaar. En verschenen er 1,7 miljoen unieke kwaadaardige bestanden, vermomd als apps voor bedrijfscommunicatie.

Dit blijkt uit Kasperksy’s 'Story of the year: remote work' rapport. Het plotseling vanuit huis moeten werken, leidde tot nieuwe kwetsbaarheden waar cybercriminelen zich snel op hebben gericht. Het volume van het bedrijfsverkeer nam toe en gebruikers gingen snel over op het gebruik van diensten van derden om gegevens uit te wisselen en te werken via potentieel onveilige Wi-Fi-netwerken.

RDP-aanvallen toegenomen

Een van de meest populaire protocollen op applicatieniveau voor toegang tot Windows werkstations of servers, is het eigen protocol van Microsoft: RDP. Computers die verkeerd zijn geconfigureerd nadat ze beschikbaar zijn gesteld aan externe werkers, zijn tijdens de eerste golf over de hele wereld toegenomen.

Datzelfde geldt voor het aantal cyberaanvallen op deze computers. Deze aanvallen waren meestal een poging om via brute force een gebruikersnaam en wachtwoord voor RPD te bemachtigen. Hierbij wordt systematisch geprobeerd de juiste combinatie te vinden. Bij een succesvolle poging kregen cybercriminelen op afstand toegang tot de doelcomputer in het netwerk.

Hack gemeente Hof van Twente

Vorige week werd bekend gemaakt dat de gemeente Hof van Twente waarschijnlijk is getroffen door gijzelsoftware. De nog onbekende hackers konden hierdoor bij soms zeer privacygevoelige informatie van inwoners. Het lijkt erop dat hier ook sprake is van een RDP-aanval.

“De aanvallers zouden gebruik hebben gemaakt van het ‘remote desktop protocol’ van de gemeente. Dat is software waarmee systeembeheerders op afstand toegang kunnen krijgen tot computers binnen het bedrijfsnetwerk. Als zulke software slecht beveiligd is, kunnen ook hackers via deze weg toegang krijgen. Dat komt regelmatig voor", zegt David Jacoby, onderzoeker bij beveiliger Kaspersky hierover. "Soms zien we ook dat de inlogcodes voor zulke systemen op het internet verhandeld worden.”

Meer bruteforce-aanvallen

Sinds begin maart is het aantal Bruteforce.Generic.RDP-detecties omhooggeschoten. Het totale aantal detecties in de eerste elf maanden van 2020 is met 3,4 keer gestegen, ten opzichte van hetzelfde type aanvallen in 2019. In totaal werden tussen januari en november 2020 3,3 miljard aanvallen op Remote Desktop Protocols gedetecteerd. In 2019 heeft Kaspersky in dezelfde periode wereldwijd 969 miljoen van deze aanvallen gedetecteerd.

kaspersky-rdp-12-2020-mediaxplain.png
Grafiek: RDP-aanvallen januari - november 2019 vs. 2020

Bedrijfscommunicatie misbruikt

Afgezien van de RDP-aanvallen, maakte cybercriminelen ook misbruik van het feit dat ook de offline bedrijfscommunicatie verplaatste naar online. Kaspersky ontdekte 1,66 miljoen unieke schadelijke bestanden die werden verspreid onder het mom van populaire messenger- en online conferentietoepassingen. Eenmaal geïnstalleerd, zouden deze bestanden voornamelijk Adware laden - programma's die de apparaten van slachtoffers overspoelen met ongewenste reclame en hun persoonlijke gegevens verzamelen voor gebruik door derden.

Een andere groep bestanden die vermomd waren als bedrijfsapps waren Downloaders - toepassingen die misschien niet kwaadaardig zijn, maar wel andere apps kunnen downloaden. Van Trojaanse paarden tot tools voor toegang op afstand.

Aanbevelingen

Aangezien thuiswerken een blijvend gegeven is, adviseert Kaspersky zowel werkgevers, als werknemers en consumenten hoe ze het thuiswerken zo veilig mogelijk kunnen inrichten. Aanbevelingen voor werkgevers:

  • Maak toegang tot het netwerk mogelijk via een bedrijfs-VPN en stel, indien mogelijk, multi-factor authenticatie in om beschermd te blijven tegen RDP-aanvallen.
  • Gebruik een bedrijfsbeveiligingsoplossing met bescherming tegen netwerkdreigingen, zoals Kaspersky Integrated Endpoint Security. De oplossing bevat ook de functionaliteit voor logboekinspectie om monitoring- en waarschuwingsregels voor brute force en mislukte aanmeldingspogingen te configureren.
  • Zorg ervoor dat medewerkers alles hebben wat ze nodig hebben om veilig thuis te werken en weten met wie ze contact moeten opnemen als ze te maken krijgen met een IT- of veiligheidsprobleem.
  • Biedt medewerkers een basis security awareness training. Dit kan online en heeft betrekking op essentiële praktijken, zoals account- en wachtwoordmanagement, endpointbeveiliging en surfen op het web. Kaspersky en Area9 Lyceum bieden een gratis cursus aan om medewerkers te helpen veilig thuis te werken.
  • Zorg ervoor dat apparaten, software, applicaties en diensten up-to-date worden gehouden.
  • Versterk de beschermingsoplossing door toegang tot de nieuwste dreigingsinformatie. Kaspersky biedt bijvoorbeeld een gratis COVID-19-gerelateerde gegevensinvoer over bedreigingen.
  • Naast fysieke endpoints is het belangrijk om cloud workloads en virtuele desktopinfrastructuur te beschermen. Zo beschermt Kaspersky Hybrid Cloud Security de hybride infrastructuur van fysieke en virtuele endpoints, evenals de cloud workloads, ongeacht of deze op locatie, in een datacenter of in een publieke cloud worden uitgevoerd. Het ondersteunt de integratie met de belangrijkste cloud-platforms zoals VMware, Citrix of Microsoft en vergemakkelijkt de migratie van fysieke naar virtuele desktops.

Aanbevelingen voor consumenten en werknemers:

  • Zorg ervoor dat de router ondersteuning biedt en soepel werkt bij het verzenden van WiFi naar meerdere apparaten tegelijk, zelfs als er meerdere mensen online zijn en er veel verkeer is (zoals het geval is bij het gebruik van videoconferentietools).
  • Stel sterke wachtwoorden in voor de router en het WiFi-netwerk. Ideaal is een mix van kleine letters en hoofdletters, cijfers en leestekens.
  • Werk als het kan alleen vanaf apparaten die door de werkgever zijn geleverd. Het plaatsen van bedrijfsinformatie op persoonlijke apparaten kan leiden tot potentiële veiligheids- en vertrouwelijkheidskwesties.
  • Deel zakelijk accountgegevens met niemand anders, ook al lijkt het op dat moment een goed idee.
  • Gebruik een betrouwbare beveiligingsoplossing om persoonlijke apparaten te beschermen, zoals Kaspersky Security Cloud die privacy, gegevens en financiële activa beschermt met een uitgebreide set tools en functies, waaronder een VPN, betalingsbescherming, PC-schoonmaak, het blokkeren van ongeautoriseerde toegang tot webcams, bestandsversleuteling, wachtwoordopslag, ouderlijk toezicht en vele andere.

Lees het hele ‘verhaal van 2020’ op Securelist.com. Het ‘2019 verhaal van het jaar’ is hier in te zien. Alle Kaspersky Security Bulletins met resultaten van 2020 en voorspellingen voor 2021 zijn hier beschikbaar.

Trend Micro BW BN week 10-11-13-14-2024 Copaco | BW 25 maart tm 31 maart 2024
Trend Micro BW BN week 10-11-13-14-2024