RDP w dobie powszechnego szyfrowania dla okupu czyli Ransomware Deployment Protocol

RDP czyli Remote Desktop Protocol jest to powszechnie używany protokół do zdalnego łączenia się z komputerem lub serwerem z systemem Windows. Hakerzy od lat wykorzystywali tę funkcjonalność do łączenia się z maszynami, które na przykład nie były zabezpieczone dostatecznie silnym hasłem. W chwili uzyskania dostępu poprzez RDP przestępcy mają swobodny dostęp do całego systemu oraz danych znajdujących się na skompromitowanym komputerze. Jak pokazują aktualne statystyki dotyczące ataków hakerskich dane są nie tylko wykradane, ale również szyfrowane wraz z blokowaniem dostępu do maszyny w celu wymuszenia okupu.

Najczęściej z RDP korzystają zespoły wsparcia IT, aby wygodnie i szybko połączyć się z wybranym klientem lub pracownikiem, w celu udzielenia pomocy bądź rozwiązania problemu. Administratorzy również na co dzień korzystają z tej możliwości do zarządzania infrastrukturą w tym serwerami fizycznymi jak i maszynami wirtualnymi, które pełnią kluczowe role w organizacji. 

Wydawać by się mogło, że to właśnie te role, konta administratorskie, są głównie brane na celownik przez hakerów i jest to po części prawda. Konto z najwyższymi uprawnieniami bez wątpienia daje nieograniczone możliwości przestępcom na start. Aczkolwiek przejęte konto zwykłego użytkownika np. pracownika działu finansowego, handlowego czy też komputer na recepcji podłączony do domeny czy też lokalnej firmowej sieci jest niezwykle cennym łupem do eskalacji uprawnień czy też penetracji ww. sieci. Przestępcy wykorzystują do tego powszechnie znane i codziennie publikowane podatności systemów operacyjnych oraz luki w oprogramowaniu firm trzecich. 

Pandemia COVID-19 tylko spotęgowała wykorzystanie Remote Desktop Protocol za sprawą pracy zdalnej. Stacje robocze oraz laptopy powędrowały z lokalnych sieci firmowych do sieci domowych wystawionych na świat, gdzie bezpieczeństwo nigdy nie było brane pod uwagę. Podstawowe urządzenia sieciowe jakie zapewnia dostawca internetowy nie są w stanie zapewnić takiego poziomu zabezpieczeń jaki wymagany jest do korzystania z RDP. Dlatego w celu ochrony naszego środowiska oraz kapitału firmy niezwykle ważne jest aby zabezpieczyć zdalny dostęp najlepiej jak to tylko możliwe. W tym celu olbrzymią rolę odgrywają urządzenia sieciowe takie jak Firewall’e, routery oraz przełączniki, które umożliwią zestawienie VPN’a, segmentację sieci, filtrowanie ruchu, wydzielenie danych i zasobów dla konkretnych kont, komputerów. 

Również sam system Microsoft’u wymaga od nas szczególnej uwagi. Wieloskładnikowe uwierzytelnienie na kontach użytkowników (MFA), limit prób logowania w celu obrony przed atakami typu brute-force, silne hasła, wydzielone dostępy z określonych adresów IP do połączenia z RDP – są to podstawowe, a zarazem kluczowe kroki jakie trzeba obrać aby zabezpieczyć ten wektor pracy zdalnej.

Zatem powinno być jasne dlaczego akronim RDP - Remote Desktop Protocol jest dziś również tłumaczony jako Ransomware Deployment Protocol. Zestawienie oraz konfiguracja RDP musi grać kluczową rolę w polityce bezpieczeństwa naszej firmowej infrastruktury. Niezabezpieczony protokół prędzej czy później zostanie wykorzystany przeciwko nam.

MM