image

Botnet kaapt kassasystemen via zwakke RDP-wachtwoorden

donderdag 10 juli 2014, 10:24 door Redactie, 6 reacties

Onderzoekers hebben een botnet van duizenden computers ontdekt dat kassasystemen van winkels via zwakke RDP-wachtwoorden probeert te kapen. Het Remote Desktop Protocol (RDP) maakt het mogelijk om op afstand op computers in te loggen en ze te beheren.

De computers van het botnet scannen naar systemen waar RDP is ingeschakeld en proberen via wachtwoorden als P@ssw0rd, password, Passw0rd, passw0rd en andere varianten in te loggen. Is de login succesvol, dan wordt er malware geïnstalleerd die naar kassasystemen in het netwerk zoekt. De malware kan vervolgens de gegevens van creditcards die via deze kassasystemen worden verwerkt opslaan en naar de criminelen terugsturen.

Met de gestolen creditcardgegevens kan vervolgens worden gefraudeerd. Het is onduidelijk hoe de malware, die BrutPOS wordt genoemd, zich verspreidt. Beveiligingsbedrijf FireEye denkt dat de partij achter deze malware mogelijk de diensten van andere cybercriminelen hiervoor gebruikt. In totaal werden 5600 besmette computers aangetroffen, wat in vergelijking met andere botnets een klein aantal is.

Volgens FireEye hebben veel organisaties RDP ingeschakeld, wat het een interessante aanvalsvector voor aanvallers maakt. Om aanvallen op RDP te voorkomen wordt geadviseerd om slechts een beperkt aantal inlogpogingen toe te staan, de authenticatielogbestanden op mislukte of herhaaldelijke inlogpogingen te monitoren, het standaard inloggen via RDP op systemen uit te schakelen en het gebruik van gedeelde of groepsaccounts te verwijderen of beperken.

Reacties (6)
10-07-2014, 10:51 door _R0N_
Dat ze Windows gebruiken kun je bediscuseren maar dat heeft geen zin...

Op je kassa systeem RDP open voor de buiten wereld .. tsss..
10-07-2014, 10:56 door Anoniem
Ik denk dat het lastiger is om (ongezien) naar kassasystemen te zoeken op een intern netwerk dan de hele IP-range te scannen op TCP:3389, maar OK.

RDP zonder tunnel is sowieso 'levensgevaarlijk...'
10-07-2014, 11:06 door Anoniem
Door _R0N_: Dat ze Windows gebruiken kun je bediscuseren maar dat heeft geen zin...

Op je kassa systeem RDP open voor de buiten wereld .. tsss..

Dat staat er niet. Er staat: "Is de login succesvol, dan wordt er malware geïnstalleerd die naar kassasystemen in het netwerk zoekt." Ofwel, er wordt naar een actieve, te misbruiken, RDP client gezocht, en als die gevonden is, dan dmv malware verder naar kassasystemen.
10-07-2014, 11:07 door mcb
Inderdaad, niet slim.

wel slim:
1. zet vpn verbinding op.
2. firewall instellen zodat geen rdp (of uberhaupt enige andere) connectie van/naar internet kan worden opgezet.
En dat alleen verkeer via de vpn kan binnenkomen.
3. wijzig standaard pw naar iets dat niet voor de hand ligt (en zorg ervoor dat het voldoende sterk is en een zekere lengte heeft)
10-07-2014, 11:59 door Anoniem
@ MCB

Als je een VPN verbinding opzet en je wilt vanuit extern connectie maken met jou RDP via VPN moet je dan poort openzetten voor RDP? Of zou je RDP kunnen benaderen als je alleen een VPN connectie hebt gemaakt? Ik heb nu in mijn router alleen poort 1723 open gezet voor VPN.
10-07-2014, 19:26 door mcb - Bijgewerkt: 10-07-2014, 19:29
Door Anoniem: @ MCB
Als je een VPN verbinding opzet en je wilt vanuit extern connectie maken met jou RDP via VPN moet je dan poort openzetten voor RDP? Of zou je RDP kunnen benaderen als je alleen een VPN connectie hebt gemaakt? Ik heb nu in mijn router alleen poort 1723 open gezet voor VPN.
Op de router poort voor vpn openzetten en op je pc de poort voor rdp.

Wat betreft het artikel; Het hoofd/regiokantoor zou een permanente vpn verbinding moeten hebben naar die systemen en alleen van daaruit hun "administratie" moeten doen.
En als een externe partij onderhoud moet plegen, moet dat vanuit dat kantoor of anders te plekken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.