Sophos waarschuwt voor de populariteit van het Remote Desktop Protocol binnen Windows bij hackers. Die zouden zich buitenproportioneel focussen op het protocol om zich een weg naar binnen te forceren.
Het Remote Desktop Protocol (RDP) is een erg populaire vector bij hackers. Dat blijkt uit onderzoek van beveiligingsspecialist Sophos, die wereldwijd tien honeypots opzetten die enkel via het RDP aan het internet werden blootgesteld. Het duurder minder dan één dag alvorens alle honeypot-servers met een eerste inlogpoging geconfronteerd werden. Vanaf dat moment escaleerde de zaak, met in totaal meer dan vier miljoen mislukte inlogpogingen over 30 dagen, goed voor gemiddeld één hackpoging iedere zes seconden.
Drie technieken
Cybercriminelen proberen het RDP op verschillende manieren uit te buiten. Zero-day-lekken zoals BlueKeep komen daarbij van pas maar vaak proberen ze gewoon het wachtwoord te raden. Sophos ontdekte drie veelgebruikte technieken.
Bij de eerste techniek focussen hackers zich op het kraken van een handvol specifieke accounts. Zo roteren een drietal administrator-accounts en laten daar duizenden wachtwoorden op los in de hoop het juiste wachtwoord te pakken te krijgen.
Soms gaan hackers ook omgekeerd te werk. Zo blijven dan niet bij één account, maar proberen verschillende voor de hand liggende gebruikersnaam-wachtwoordcombinaties. Denk aan A.Peters, B.Janssens, telkens gekoppeld aan een aantal veelgebruikte onveilige wachtwoorden. Zo hopen ze één combinatie te vinden die werkt.
Tot slot zijn er de aanvallers die kort alles uit te kast halen, en dan relatief snel opgeven als binnenbreken niet lukt. Zo combineren een handvol technieken maar blijven niet aan de deur prutsen als die niet meteen opengaat.
Complexe wachtwoorden
Volgens Sophos is het potentieel van binnenbreken via RDP groot genoeg dat steeds meer cybercriminelen het protocol als primaire vector gaan gebruiken. Evalueren waar je RDP nodig hebt, en het protocol waar mogelijk afvoeren, is dan ook een goede beschermingsstrategie. Is dat niet mogelijk, dan kan een goed wachtwoordbeleid je redden. Lange en complexe wachtwoorden kunnen hackers vandaag niet zomaar raden. Ze beschermen je dus tegen bovenstaande aanvalstechnieken.
Gerelateerd: Sophos: ‘In de public cloud moet je zelf je data beveiligen’