image

Toename van RDP-aanvallen die ransomware installeren

vrijdag 10 februari 2017, 11:49 door Redactie, 4 reacties

Er is een toename van aanvallen waarbij aanvallers via het remote desktop protocol (rdp) van Windows op systemen proberen in te loggen en vervolgens ransomware installeren. In de eerste weken van dit jaar is het aantal aanvallen ten opzichte van een zelfde periode in het laatste kwartaal verdubbeld.

Dat meldt het Japanse anti-virusbedrijf Trend Micro. De aanvallers richten zich met name op de gezondheidssector in de Verenigde Staten. Om toegang tot het rdp-account te krijgen worden er verschillende veelvoorkomende gebruikersnamen en wachtwoorden gebruikt. In het geval de inlogpoging succesvol is wordt de Crysis-ransomware geïnstalleerd. Hiervoor wordt een gedeelde map op de aangevallen computer gebruikt. In sommige gevallen wordt de ransomware ook via het klembord gekopieerd.

Naast het vermijden van standaardwachtwoorden krijgen beheerders ook het advies om het delen van schijven, mappen en het klembord uit te schakelen, aangezien dit de mogelijkheid beperkt om via rdp bestanden te kopieren. Dit kan echter wel ten koste van de bruikbaarheid gaan, aldus analist Jay Yaneza. De aanvallen werden vorig jaar september voor het eerst opgemerkt en waren toen vooral tegen bedrijven in Australië en Nieuw-Zeeland gericht. Inmiddels vinden de aanvallen wereldwijd plaats.

Reacties (4)
10-02-2017, 16:35 door Anoniem
Helaas is het met de RDP-service van Microsoft niet mogelijk om te beschermen tegen brute-force aanvallen, in tegenstelling tot de vele mogelijkheden met Fail2ban(-achtige programma's), zoals op veel Linux-smaken wel beschikbaar is. Triest dat Microsoft na jaren van RDP-aanvallen hier nog altijd geen bescherming tegen biedt. Natuurlijk hoort RDP niet aan het publieke internet te hangen, maar ook intern zijn netwerken natuurlijk kwetsbaar, er is geen excuus voor Microsoft om een blokkeer-functie in te bouwen in RDP na een X-aantal inlogpogingen.
11-02-2017, 09:57 door Anoniem
Natuurlijk heeft Windows wel een beveiliging tegen x aantal logon pogingen. Het account wordt dan voor een ingestelde periode geblokkeerd. Verder hoor je RDP niet direct aan Internet te verbinden en al helemaal niet met een standaard wachtwoord. Daarvoor zijn zeer geavanceerde oplossingen zoals Direct Access always on VPN
11-02-2017, 14:08 door karma4
Door Anoniem: Triest dat Microsoft na jaren van RDP-aanvallen hier nog altijd geen bescherming tegen biedt.
.
Gewoon effe googlen https://technet.microsoft.com/en-us/library/cc732204(v=ws.11).aspx Van alles is mogelijk maar dat is niet altijd de makkelijkste klik klik optie. Als je een externe leverancier vrije toegang geeft omdat het zo makkelijk is dan is dat een beleidskeuze, geen verstandige.
Domme beslissingen staan los van het OS. Nog dommer is domme beslissingen aan een OS te willen koppelen, daarmee worden het geen slimme beslissingen. (a Fool wiht a tool still is a.. ...)

Een betere om over na te denken. http://www.adventureswithagile.com/2016/08/10/
Het is heel generiek en zo oud als de weg naar rome.
15-02-2017, 08:58 door Anoniem
Duo(.com) security, gratis en voor niets!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.