Botnet kaapt kassasystemen via zwakke RDP-wachtwoorden
Onderzoekers hebben een botnet van duizenden computers ontdekt dat kassasystemen van winkels via zwakke RDP-wachtwoorden probeert te kapen. Het Remote Desktop Protocol (RDP) maakt het mogelijk om op afstand op computers in te loggen en ze te beheren.
De computers van het botnet scannen naar systemen waar RDP is ingeschakeld en proberen via wachtwoorden als P@ssw0rd, password, Passw0rd, passw0rd en andere varianten in te loggen. Is de login succesvol, dan wordt er malware geïnstalleerd die naar kassasystemen in het netwerk zoekt. De malware kan vervolgens de gegevens van creditcards die via deze kassasystemen worden verwerkt opslaan en naar de criminelen terugsturen.
Met de gestolen creditcardgegevens kan vervolgens worden gefraudeerd. Het is onduidelijk hoe de malware, die BrutPOS wordt genoemd, zich verspreidt. Beveiligingsbedrijf FireEye denkt dat de partij achter deze malware mogelijk de diensten van andere cybercriminelen hiervoor gebruikt. In totaal werden 5600 besmette computers aangetroffen, wat in vergelijking met andere botnets een klein aantal is.
Volgens FireEye hebben veel organisaties RDP ingeschakeld, wat het een interessante aanvalsvector voor aanvallers maakt. Om aanvallen op RDP te voorkomen wordt geadviseerd om slechts een beperkt aantal inlogpogingen toe te staan, de authenticatielogbestanden op mislukte of herhaaldelijke inlogpogingen te monitoren, het standaard inloggen via RDP op systemen uit te schakelen en het gebruik van gedeelde of groepsaccounts te verwijderen of beperken.
Op je kassa systeem RDP open voor de buiten wereld .. tsss..
RDP zonder tunnel is sowieso 'levensgevaarlijk...'
Op je kassa systeem RDP open voor de buiten wereld .. tsss..
Dat staat er niet. Er staat: "Is de login succesvol, dan wordt er malware geïnstalleerd die naar kassasystemen in het netwerk zoekt." Ofwel, er wordt naar een actieve, te misbruiken, RDP client gezocht, en als die gevonden is, dan dmv malware verder naar kassasystemen.
wel slim:
1. zet vpn verbinding op.
2. firewall instellen zodat geen rdp (of uberhaupt enige andere) connectie van/naar internet kan worden opgezet.
En dat alleen verkeer via de vpn kan binnenkomen.
3. wijzig standaard pw naar iets dat niet voor de hand ligt (en zorg ervoor dat het voldoende sterk is en een zekere lengte heeft)
Als je een VPN verbinding opzet en je wilt vanuit extern connectie maken met jou RDP via VPN moet je dan poort openzetten voor RDP? Of zou je RDP kunnen benaderen als je alleen een VPN connectie hebt gemaakt? Ik heb nu in mijn router alleen poort 1723 open gezet voor VPN.
Als je een VPN verbinding opzet en je wilt vanuit extern connectie maken met jou RDP via VPN moet je dan poort openzetten voor RDP? Of zou je RDP kunnen benaderen als je alleen een VPN connectie hebt gemaakt? Ik heb nu in mijn router alleen poort 1723 open gezet voor VPN.
Wat betreft het artikel; Het hoofd/regiokantoor zou een permanente vpn verbinding moeten hebben naar die systemen en alleen van daaruit hun "administratie" moeten doen.
En als een externe partij onderhoud moet plegen, moet dat vanuit dat kantoor of anders te plekken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
