За время самоизоляции число компьютеров на Windows в России, уязвимых для попыток доступа по протоколу удаленного рабочего стола (RDP), выросло на 230%, до 101 тыс., подсчитали в DeviceLock. От атак могут защитить VPN-решения, но и они часто содержат уязвимости, предупреждают эксперты. Полученные подобным способом учетные записи в сетях компаний хакеры затем продают в даркнете всего по 300–500 руб.— на цену влияет высокое предложение.
Фото: Евгений Павленко, Коммерсантъ
Фото: Евгений Павленко, Коммерсантъ
Число компьютеров на операционной системе Windows, потенциально уязвимых для попыток доступа по протоколу RDP, с начала апреля к концу мая выросло в России на 230%, составив 101 тыс., рассказали в DeviceLock. Быстрый рост связан с тем, что на фоне самоизоляции высокими темпами росло и количество серверов, в том числе и открытых для интернета, поясняет основатель и технический директор DeviceLock Ашот Оганесян.
По словам господина Оганесяна, большинство компаний позволяют подключаться по протоколу удаленного стола только по технологии VPN (Virtual Private Network, виртуальная частная сеть), при этом у небольшой доли серверов разрешена авторизация без пароля, что представляет значительную опасность для корпоративных сетей, предупреждает Ашот Оганесян. Но во всех популярных VPN-решениях тоже присутствуют уязвимости, которые могут стать дополнительной точкой отказа удаленной инфраструктуры, отмечает директор экспертного центра Positive Technologies Алексей Новиков.
В целом с увеличением числа целей для атаки стало больше и киберинцидентов, подтверждает Алексей Новиков.
«С увеличением количества RDP на периметре появились новые цели для ботнетов, которые сканировали пространство»,— поясняет он. По его мнению, причиной этого стал быстрый переход на удаленную работу, когда первоочередной задачей для компаний было обеспечение работоспособности инфраструктуры, а вопросы информационной безопасности имели более низкий приоритет.
В рамках опроса, который Positive Technologies провела 7–14 апреля среди специалистов по информационной безопасности, более половины респондентов отметили, что в связи с пандемией удаленный доступ пришлось экстренно организовывать с нуля (11%) либо срочно масштабировать, так как раньше он был реализован только для некоторых сотрудников (41%).
При переходе на удаленную работу многие компании выбрали самый простой способ обеспечения доступа к инфраструктуре для сотрудников — протокол удаленного рабочего стола, говорил и руководитель отдела расследования киберинцидентов JSOC CERT компании «Ростелеком» Игорь Залевский на конференции “Ъ” 28 мая. По его словам, с ростом количества целей выросло и число попыток атак: если до апреля в среднем у одного заказчика услуг компании происходило от трех до пяти попыток подбора пароля к удаленному рабочему столу в день, то, например, 27 мая было от 9 до 12 таких попыток. Кроме того, в мае подобные атаки стали продолжаться дольше: теперь они длятся от двух до четырех часов без перерыва, хотя обычно злоумышленники старались подбирать пароли более короткими набегами в течение дня.
Как правило, для доступа в крупные компании с большим штатом отдела информационной безопасности злоумышленникам в среднем требуется полтора дня, отмечает Игорь Залевский.
Если злоумышленники проникли на сервер, то чаще всего сразу стараются создать новую учетную запись на нем, рассказывает господин Залевский, рекомендуя компаниям контролировать информацию о входах на сервер. Подобные точки доступа к инфраструктуре компаний затем продаются в даркнете по цене от 300 до 500 руб.: столь низкая цена обусловлена большим количеством предложений, уточняет эксперт. Также хакеры могут монетизировать точку входа в инфраструктуру организации с помощью шифрования: получив доступ в компанию, они требуют выкуп для дешифрования похищенных данных. Спасением в таких случаях может стать заблаговременное копирование информации.
