‘Remote Desktop (RDP) is de motor achter tal van aanvallen’

Schakel nu 2FA in

remote desktop

Vandaag komen 80 tot 90 procent van de cyberaanvallen binnen via het Remote Desktop Protocol (RDP), meestal via phishing. Eens binnen kan je privileges escaleren voor adminrechten en is het hek van de dam. Voor je het weet moet je losgeld betalen voor je data, allemaal op enkele dagen tijd.

Allereerst: wat is Remote Desktop Protocol, beter bekend als RDP. Zoals de naam doet vermoeden, kan je vanop afstand toegang krijgen tot je pc. Nadat je inlogt, kan je je computer gebruiken alsof je lokaal werkt. RDP is gebruiksvriendelijk en wordt haast overal geïmplementeerd. Het zit zelfs standaard in de meeste Windows-versies vandaag.

Door het gebruiksgemak wordt RDP snel ingeschakeld om bijvoorbeeld vandaag met Covid-19 handig thuis te werken zonder dat je toegang verliest tot je werkcomputer. Het IT-team gebruikt dan weer RDP om vanop afstand handig enkele aanpassingen door te voeren. RDP is commodity en dat weten de hackers vandaag ook. In een privaat netwerk is RDP een veilige krachtige tool. Open dat netwerk met een internetverbinding, en je bent een doelwit.

RDP als sleutel tot je pc

Cybercriminelen weten vandaag heel goed dat een RDP-login de sleutel is tot je computer en bijgevolg je data. Ze beschikken vandaag over tal van tools die continu het internet scannen naar remote access points die vatbaar zijn. “Vandaag starten 80 tot 90 procent van de ransomware-aanvallen via RDP”, zegt Chester Wisniewski, Principal Research Scientist bij Sophos. “Het merendeel raakt binnen via phishing of een wachtwoord dat opnieuw wordt gebruikt of maar een cijfer of letter verschilt van het vorige dat gekaapt werd.”

RDP is niet gemaakt om veilig te zijn wanneer je het koppelt aan het internet.

Chester Wisniewski, Principal Research Scientist bij Sophos

“RDP is niet gemaakt om veilig te zijn wanneer je het koppelt aan het internet. Vorig jaar hebben we wereldwijd tien honeypots uitgezet die enkel via het internet werden blootgesteld. Het duurde minder dan één dag alvorens alle honeypot-servers met een eerste inlogpoging geconfronteerd werden. Vanaf dat moment escaleerde de zaak, met in totaal meer dan vier miljoen mislukte inlogpogingen over 30 dagen, goed voor gemiddeld één hackpoging iedere zes seconden.”

In de zomer van 2019 richtte een brute-force botnet genaamd GoldBrute zijn pijlen op 1,5 miljoen publiek beschikbare Windows RDP-servers op het internet. Eens een bedrijf een doelwit wordt, moet je enkel het wachtwoord ontfutselen. Dat kan via phishing of via pure rekenkracht. Een hacker kraakt een zwak wachtwoord op enkele uren tijd. Tot slot heeft een hacker dikwijls ook toegang tot miljarden inloggegevens van gebruikers wereldwijd uit datalekken van online diensten.

lees ook

Sophos verwacht dat ransomware in 2021 nog veel erger wordt

Vergeet ook niet dat bedrijven doorheen de jaren steeds meer accounts toevoegen. Dat resulteert soms in oude ongebruikte accounts zodat hackers een nog groter oppervlak krijgen om binnen te breken.

2FA 2FA 2FA 2FA

“Een belangrijke manier om RDP ietwat veilig te verbinden met het internet, is door 2FA in te schakelen”, benadrukt Wisniewski. “Tweestapsverificatie beveiligt je wachtwoord met een extra authenticatie zoals een code die je via sms of e-mail ontvangt of het gebruik van een authenticatie-app die codes genereert. Hiermee zet je de meeste hackers onmiddellijk buitenspel.”

2FA is belangrijk, want hackers zijn vandaag intelligent genoeg om RDP maximaal te misbruiken. Van zodra ze één login hebben die matcht met hun database van miljarden inloggegevens, zitten ze binnen en scannen ze naar andere gebruikers die hun gekaapte wachtwoord niet hebben veranderd. Al deze stappen zijn vandaag grotendeels geautomatiseerd. Tot slot kijken ze welke software is geïnstalleerd, wat de omzet is van het bedrijf en daarna worden de gegevens te koop aangeboden op de ‘dark web’.

Vanaf dan is elk bedrijf een vogel voor de kat, zonder dat ze dat weten. Iedere cybercrimineel kan de gegevens opkopen en zich voordoen als die éne persoon waarvan de logingegevens zijn gekraakt. Zo kunnen hackers valse facturen verzonden naar klanten met betaalgegevens naar een fout rekeningnummer. Zeker bij grote bedrijven kan dit al snel enorm veel geld kosten. De hacker kan ook vrijuit ransomware installeren en je dwingen om losgeld te betalen om versleutelde bestanden terug te krijgen.

In een recent onderzoek door Sophos hebben we een lijst van 400.000 RDP-servers gevonden op het internet.

Chester Wisniewski, Principal Research Scientist bij Sophos

“In een recent onderzoek door Sophos hebben we een lijst van 400.000 RDP-servers gevonden op het internet”, zucht Wisniewski. “Beeld je in wat voor schade hackers kunnen aanrichten.”

Populairder dan ooit

RDP is gevaarlijk, dus onmiddellijk dichtgooien? “Helaas gebeurt vandaag het tegenovergestelde door covid-19. Thuiswerken is de norm, wat RDP populairder dan ooit maakt. Iedereen moest ineens last-minute kunnen werken van thuis uit. Het is een kleinigheid om een VPN te configureren en 2FA in te schakelen, maar niemand doet het”, schudt Wisniewski zijn hoofd.

“In een virtueel seminar vorige maand kwam er een klant naar mij die vroeg of RDP veilig was om zijn datacenter vanop afstand te monitoren. Van zo’n vragen word ik dan moedeloos.”

lees ook

‘Organisaties nooit meer dezelfde na besmetting door ransomware’

“Het gebeurt overigens nog te vaak dat het IT-team zelf schuldig is wanneer een RDP-aanval een bedrijf plat legt. Officieel staat er dikwijls in de regels dat je geen RDP mag configureren, maar ze gaan dan rond het officiële proces om snel iets op te lossen. Daarna vergeten ze dat ze dat gedaan hebben en krijgt de hacker de sleutel tot het koninkrijk indien hij de logingegevens kan kraken of loskrijgen.”

“Bedrijven doen soms penetratietests en audits om zulke problemen aan het licht te brengen, maar de rapporten die daaruit vloeien zijn dikwijls honderden pagina’s lang. Veel kiezen dan de foute prioriteiten en doen niets rond de potentiële risico’s van RDP-logingegevens.”

Updaten of van het internet lostrekken

Een grondig en snel updatebeleid is verder ook essentieel. Ernstige exploits zoals BlueKeep eind 2019 tonen aan dat kwetsbaarheden servers wagenwijd open kunnen zetten. Windows 10-machines en Windows Server 2012 of recenter ontvangen op wekelijkse en maandelijkse basis security-updates. Windows 7-toestellen of oudere Windows Server-versies krijgen die niet, wat zulke machines nog veel gevaarlijker maakt voor RDP-aanvallen.

Wat is dan de oplossing? Simple: trek RDP los van het internet.

Chester Wisniewski, Principal Research Scientist bij Sophos

Wat is dan de oplossing? Simple: trek RDP los van het internet. Beperk de toegang door het achter een veilig virtueel privaat netwerk te installeren of door het toe te kennen aan specifieke gebruikers via firewallregels. 2FA blijft een aanrader ongeacht welke extra veiligheid je inschakelt.

nieuwsbrief

Abonneer je gratis op ITdaily !
  • This field is for validation purposes and should be left unchanged.
terug naar home