‘Remote Desktop (RDP) is de motor achter tal van aanvallen’

Schakel nu 2FA in

Vandaag komen 80 tot 90 procent van de cyberaanvallen binnen via het Remote Desktop Protocol (RDP), meestal via phishing. Eens binnen kan je privileges escaleren voor adminrechten en is het hek van de dam. Voor je het weet moet je losgeld betalen voor je data, allemaal op enkele dagen tijd.

Allereerst: wat is Remote Desktop Protocol, beter bekend als RDP. Zoals de naam doet vermoeden, kan je vanop afstand toegang krijgen tot je pc. Nadat je inlogt, kan je je computer gebruiken alsof je lokaal werkt. RDP is gebruiksvriendelijk en wordt haast overal geïmplementeerd. Het zit zelfs standaard in de meeste Windows-versies vandaag.

Door het gebruiksgemak wordt RDP snel ingeschakeld om bijvoorbeeld vandaag met Covid-19 handig thuis te werken zonder dat je toegang verliest tot je werkcomputer. Het IT-team gebruikt dan weer RDP om vanop afstand handig enkele aanpassingen door te voeren. RDP is commodity en dat weten de hackers vandaag ook. In een privaat netwerk is RDP een veilige krachtige tool. Open dat netwerk met een internetverbinding, en je bent een doelwit.

RDP als sleutel tot je pc

Cybercriminelen weten vandaag heel goed dat een RDP-login de sleutel is tot je computer en bijgevolg je data. Ze beschikken vandaag over tal van tools die continu het internet scannen naar remote access points die vatbaar zijn. “Vandaag starten 80 tot 90 procent van de ransomware-aanvallen via RDP”, zegt Chester Wisniewski, Principal Research Scientist bij Sophos. “Het merendeel raakt binnen via phishing of een wachtwoord dat opnieuw wordt gebruikt of maar een cijfer of letter verschilt van het vorige dat gekaapt werd.”

RDP is niet gemaakt om veilig te zijn wanneer je het koppelt aan het internet.
Chester Wisniewski, Principal Research Scientist bij Sophos

“RDP is niet gemaakt om veilig te zijn wanneer je het koppelt aan het internet. Vorig jaar hebben we wereldwijd tien honeypots uitgezet die enkel via het internet werden blootgesteld. Het duurde minder dan één dag alvorens alle honeypot-servers met een eerste inlogpoging geconfronteerd werden. Vanaf dat moment escaleerde de zaak, met in totaal meer dan vier miljoen mislukte inlogpogingen over 30 dagen, goed voor gemiddeld één hackpoging iedere zes seconden.”

In de zomer van 2019 richtte een brute-force botnet genaamd GoldBrute zijn pijlen op 1,5 miljoen publiek beschikbare Windows RDP-servers op het internet. Eens een bedrijf een doelwit wordt, moet je enkel het wachtwoord ontfutselen. Dat kan via phishing of via pure rekenkracht. Een hacker kraakt een zwak wachtwoord op enkele uren tijd. Tot slot heeft een hacker dikwijls ook toegang tot miljarden inloggegevens van gebruikers wereldwijd uit datalekken van online diensten.

Sophos verwacht dat ransomware in 2021 nog veel erger wordt

Vergeet ook niet dat bedrijven doorheen de jaren steeds meer accounts toevoegen. Dat resulteert soms in oude ongebruikte accounts zodat hackers een nog groter oppervlak krijgen om binnen te breken.

2FA 2FA 2FA 2FA

“Een belangrijke manier om RDP ietwat veilig te verbinden met het internet, is door 2FA in te schakelen”, benadrukt Wisniewski. “Tweestapsverificatie beveiligt je wachtwoord met een extra authenticatie zoals een code die je via sms of e-mail ontvangt of het gebruik van een authenticatie-app die codes genereert. Hiermee zet je de meeste hackers onmiddellijk buitenspel.”

2FA is belangrijk, want hackers zijn vandaag intelligent genoeg om RDP maximaal te misbruiken. Van zodra ze één login hebben die matcht met hun database van miljarden inloggegevens, zitten ze binnen en scannen ze naar andere gebruikers die hun gekaapte wachtwoord niet hebben veranderd. Al deze stappen zijn vandaag grotendeels geautomatiseerd. Tot slot kijken ze welke software is geïnstalleerd, wat de omzet is van het bedrijf en daarna worden de gegevens te koop aangeboden op de ‘dark web’.

Vanaf dan is elk bedrijf een vogel voor de kat, zonder dat ze dat weten. Iedere cybercrimineel kan de gegevens opkopen en zich voordoen als die éne persoon waarvan de logingegevens zijn gekraakt. Zo kunnen hackers valse facturen verzonden naar klanten met betaalgegevens naar een fout rekeningnummer. Zeker bij grote bedrijven kan dit al snel enorm veel geld kosten. De hacker kan ook vrijuit ransomware installeren en je dwingen om losgeld te betalen om versleutelde bestanden terug te krijgen.

In een recent onderzoek door Sophos hebben we een lijst van 400.000 RDP-servers gevonden op het internet.
Chester Wisniewski, Principal Research Scientist bij Sophos

“In een recent onderzoek door Sophos hebben we een lijst van 400.000 RDP-servers gevonden op het internet”, zucht Wisniewski. “Beeld je in wat voor schade hackers kunnen aanrichten.”

Populairder dan ooit

RDP is gevaarlijk, dus onmiddellijk dichtgooien? “Helaas gebeurt vandaag het tegenovergestelde door covid-19. Thuiswerken is de norm, wat RDP populairder dan ooit maakt. Iedereen moest ineens last-minute kunnen werken van thuis uit. Het is een kleinigheid om een VPN te configureren en 2FA in te schakelen, maar niemand doet het”, schudt Wisniewski zijn hoofd.

“In een virtueel seminar vorige maand kwam er een klant naar mij die vroeg of RDP veilig was om zijn datacenter vanop afstand te monitoren. Van zo’n vragen word ik dan moedeloos.”

‘Organisaties nooit meer dezelfde na besmetting door ransomware’

“Het gebeurt overigens nog te vaak dat het IT-team zelf schuldig is wanneer een RDP-aanval een bedrijf plat legt. Officieel staat er dikwijls in de regels dat je geen RDP mag configureren, maar ze gaan dan rond het officiële proces om snel iets op te lossen. Daarna vergeten ze dat ze dat gedaan hebben en krijgt de hacker de sleutel tot het koninkrijk indien hij de logingegevens kan kraken of loskrijgen.”

“Bedrijven doen soms penetratietests en audits om zulke problemen aan het licht te brengen, maar de rapporten die daaruit vloeien zijn dikwijls honderden pagina’s lang. Veel kiezen dan de foute prioriteiten en doen niets rond de potentiële risico’s van RDP-logingegevens.”

Updaten of van het internet lostrekken

Een grondig en snel updatebeleid is verder ook essentieel. Ernstige exploits zoals BlueKeep eind 2019 tonen aan dat kwetsbaarheden servers wagenwijd open kunnen zetten. Windows 10-machines en Windows Server 2012 of recenter ontvangen op wekelijkse en maandelijkse basis security-updates. Windows 7-toestellen of oudere Windows Server-versies krijgen die niet, wat zulke machines nog veel gevaarlijker maakt voor RDP-aanvallen.

Wat is dan de oplossing? Simple: trek RDP los van het internet.
Chester Wisniewski, Principal Research Scientist bij Sophos

Wat is dan de oplossing? Simple: trek RDP los van het internet. Beperk de toegang door het achter een veilig virtueel privaat netwerk te installeren of door het toe te kennen aan specifieke gebruikers via firewallregels. 2FA blijft een aanrader ongeacht welke extra veiligheid je inschakelt.

terug naar home

Cookie	Duration	Description
__gads	1 year 24 days	De __gads-cookie, ingesteld door Google, wordt opgeslagen onder het DoubleClick-domein en houdt bij hoe vaak gebruikers een advertentie zien, meet het succes van de campagne en berekent de inkomsten. Deze cookie kan alleen worden gelezen vanaf het domein waarop hij is ingesteld en zal geen gegevens traceren tijdens het surfen op andere sites.
_ga	2 years	Dit is een basis cookie van Google Analytics, om gebruikers te identificeren op onze website. We gebruiken standaard een gelimiteerde versie van Google Analytics voordat cookies zijn geaccepteerd. Hierbij is data geanonimiseerd en marketingfuncties uitgeschakeld.
_gid	1 day	Dit is een basis cookie van Google Analytics, om gebruikers te identificeren op onze website. We gebruiken standaard een gelimiteerde versie van Google Analytics voordat cookies zijn geaccepteerd. Hierbij is data geanonimiseerd en marketingfuncties uitgeschakeld.
cli_user_preference	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
CONSENT	2 years	YouTube plaatst deze cookie via ingesloten YouTube-video's en registreert anonieme statistische gegevens.
cookielawinfo*	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
IDE	1 year 24 days	Google DoubleClick IDE-cookies worden gebruikt om informatie op te slaan over de manier waarop de gebruiker de website gebruikt om hem relevante advertenties te presenteren en volgens het gebruikersprofiel.
itdaily_lang	1 year	Deze cookie is nodig om de landnotificatie te verbergen. De landnotificatie wordt getoond als je vanuit een land de website bezoekt, waardoor we ook een specifieke Techzine-editie aanbieden. Die melding kan je verbergen middels deze cookie.
itdaily_theme	1 year	Deze cookie slaat op of je de darkmode of de normale versie wilt inschakelen.
PHPSESSID	1 day	Deze cookie komt vooruit uit standaard PHP-applicaties. De cookie wordt gebruikt om een gebruikerssessie op te slaan en te identiiceren. Het is een sessiecookie die direct wordt gewist bij het sluiten van de browser.
test_cookie	15 minutes	De test_cookie wordt ingesteld door doubleclick.net en wordt gebruikt om te bepalen of de browser van de gebruiker cookies ondersteunt.
viewed_cookie_policy	1 year	Deze cookie zorgt ervoor dat onze cookiemelding goed functioneert. Je voorkeuren worden opgeslagen in een cookie, zodat we dat ook weten bij je volgende bezoek.
wordpress_*	30 days	Wordpress gebruikt meerdere cookies om de website goed te laten functioneren, bijvoorbeeld om het redactioneel team te laten inloggen.
wp-*	1 day	Wordpress gebruikt meerdere cookies om de website goed te laten functioneren, bijvoorbeeld om het redactioneel team te laten inloggen.

Cookie	Duration	Description
_li_id.*	2 years	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
_li_ses.*	30 minutes	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
itdaily_views	1 hour	Dit is een basis cookie om bezoekersaantallen per artikel te berekenen.

Cookie	Duration	Description
__gads	1 year 24 days	De __gads-cookie, ingesteld door Google, wordt opgeslagen onder het DoubleClick-domein en houdt bij hoe vaak gebruikers een advertentie zien, meet het succes van de campagne en berekent de inkomsten. Deze cookie kan alleen worden gelezen vanaf het domein waarop hij is ingesteld en zal geen gegevens traceren tijdens het surfen op andere sites.
_li_id.*	2 years	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
_li_ses.*	30 minutes	Deze cookie wordt gebruikt door het Leadinfo platform, dit wordt gebruikt door ITdaily voor het versturen en opbouwen van de nieuwsbrief en personalisatie diensten.
IDE	1 year 24 days	Google DoubleClick IDE-cookies worden gebruikt om informatie op te slaan over de manier waarop de gebruiker de website gebruikt om hem relevante advertenties te presenteren en volgens het gebruikersprofiel.
test_cookie	15 minutes	De test_cookie wordt ingesteld door doubleclick.net en wordt gebruikt om te bepalen of de browser van de gebruiker cookies ondersteunt.
VISITOR_INFO1_LIVE	5 months 27 days	Een cookie dat door YouTube wordt geplaatst om de bandbreedte te meten en dat bepaalt of de gebruiker de nieuwe of de oude spelersinterface krijgt.
YSC	session	YSC-cookie wordt ingesteld door YouTube en wordt gebruikt om de weergaven van ingesloten video's op YouTube-pagina's bij te houden.