Οι ransomware επιθέσεις που στοχεύουν εταιρικά δίκτυα, ήταν πιο πολλές από ποτέ κατά το πρώτο εξάμηνο του 2020. Συνήθως, οι ransomware συμμορίες επιτίθενται χρησιμοποιώντας τα εργαλεία τους, ωστόσο τα περισσότερα από τα περιστατικά ransomware κατά το πρώτο εξάμηνο του 2020 μπορούν να αποδοθούν στη χρήση συγκεκριμένων exploits. Τα τρία πιο δημοφιλή exploits για ransomware επιθέσεις περιλαμβάνουν μη ασφαλή RDP endpoints, email phishing και εκμετάλλευση εταιρικών VPN.
RDP: Νούμερο 1 στη λίστα των exploits
Στην κορυφή αυτής της λίστας, βρίσκεται το πρωτόκολλο RDP. Αναφορές από τις Coveware, Emsisoft και Recorded Future θέτουν σαφώς το RDP ως το πιο δημοφιλές exploit και την πηγή των περισσότερων ransomware επιθέσεων κατά το 2020.
“Σήμερα, το RDP θεωρείται ο μεγαλύτερος φορέας επίθεσης για ransomware”, δήλωσε η εταιρεία Emsisoft τον περασμένο μήνα.
Στατιστικά στοιχεία από την Coveware, μια εταιρεία που παρέχει υπηρεσίες αντιμετώπισης ransomware επιθέσεων και υπηρεσίες διαπραγμάτευσης λύτρων, υποστηρίζουν επίσης το ίδιο. Η εταιρεία λέει ότι το RDP είναι το πιο δημοφιλές σημείο εισόδου για την πραγματοποίηση ransomware επιθέσεων.
Επιπλέον, σύμφωνα και με την εταιρεία Recorded Future: “Το Remote Desktop Protocol είναι επί του παρόντος ο πιο κοινός φορέας επίθεσης που χρησιμοποιείται από παράγοντες απειλής για να αποκτήσουν πρόσβαση σε υπολογιστές Windows και να εγκαταστήσουν ransomware και άλλα κακόβουλα προγράμματα”.
Κάποιοι μπορεί να πιστεύουν ότι το RDP χρησιμοποιείται συχνά από συμμορίες ransomware λόγω της τρέχουσας κατάστασης, όπου οι περισσότεροι άνθρωποι εργάζονται από το σπίτι. Ωστόσο, αυτό είναι λάθος και ανακριβές. Οι hackers εκμεταλλεύονται το RDP ήδη από πέρυσι όταν σταμάτησαν να στοχεύουν οικιακούς χρήστες και άρχισαν να επικεντρώνονται σε εταιρικά δίκτυα.
Το RDP είναι η κορυφαία τεχνολογία για σύνδεση σε απομακρυσμένα συστήματα και υπάρχουν εκατομμύρια υπολογιστές με θύρες RDP εκτεθειμένες στο διαδίκτυο, γεγονός που καθιστά το RDP το πιο δημοφιλές exploit μεταξύ των εγκληματιών του κυβερνοχώρου (όχι μόνο των ransomware συμμοριών).
Πολλοί hackers ειδικεύονται στη σάρωση του Διαδικτύου για RDP endpoints και, στη συνέχεια, πραγματοποιούν brute-force επιθέσεις εναντίον αυτών των συστημάτων, στην προσπάθεια να μαντέψουν τα credentials τους.
Τα συστήματα που χρησιμοποιούν αδύναμους συνδυασμούς ονόματος χρήστη και κωδικού πρόσβασης παραβιάζονται εύκολα και στη συνέχεια διατίθενται προς πώληση στα λεγόμενα “καταστήματα RDP”, από όπου αγοράζονται από διάφορες εγκληματικές ομάδες.
Σήμερα, οι συμμορίες ransomware είναι οι μεγαλύτεροι πελάτες των καταστημάτων RDP και ορισμένοι διαχειριστές καταστημάτων έχουν κλείσει τα καταστήματά τους για να συνεργαστούν αποκλειστικά με συμμορίες ransomware ή έχουν γίνει πελάτες των Ransomware-as-a-Service (RaaS) portals για να κερδίσουν έσοδα από τη συλλογή των hacked RDP συστημάτων, που έχουν στη διάθεσή τους.
VPN: Τα νέα RDP
Ωστόσο, το 2020 παρατηρήθηκε ότι οι ransomware συμμορίες άρχισαν να εκμεταλλεύονται σε μεγάλο βαθμό και συστήματα VPN για την απόκτηση πρόσβασης σε εταιρικά δίκτυα.
Από το καλοκαίρι του 2019, έχουν αποκαλυφθεί πολλές σοβαρές ευπάθειες σε συσκευές VPN.
Με τη δημοσίευση των PoC exploits, πολλοί hackers άρχισαν να εκμεταλλεύονται τα σφάλματα για να αποκτήσουν πρόσβαση σε εταιρικά δίκτυα.
Κάποιες ransomware συμμορίες άρχισαν να χρησιμοποιούν αυτό το exploit από πέρυσι, ωστόσο ο αριθμός των επιθέσεων που βασίζονται σε αυτό αυξήθηκαν σημαντικά κατά το 2020.
Κατά τη διάρκεια του 2020, τα VPN άρχισαν να χρησιμοποιούνται από τις ransomware ομάδες, με τις πύλες δικτύου Citrix και τους Pulse Secure VPN servers να είναι οι αγαπημένοι τους στόχοι, σύμφωνα με μια έκθεση που δημοσιεύθηκε την περασμένη εβδομάδα από τη SenseCy.
Σύμφωνα με τη SenseCy, συμμορίες όπως οι REvil (Sodinokibi), Ragnarok, DoppelPaymer, Maze, CLOP και Nefilim έχουν χρησιμοποιήσει συστήματα Citrix, ευάλωτα στο σφάλμα CVE-2019-19781, για να αποκτήσουν πρόσβαση σε εταιρικά δίκτυα. Επίσης, ομάδες όπως οι REvil και Black Kingdom έχουν χρησιμοποιήσει Pulse Secure VPN, ευάλωτα στο σφάλμα CVE-2019-11510.
Οι ειδικοί ασφαλείας τονίζουν συνεχώς την ανάγκη για τακτική ενημέρωση συστημάτων, συσκευών, εφαρμογών κλπ.
Η τακτική ενημέρωση των VPN και η χρήση ισχυρών RDP credentials είναι απαραίτητα για την προστασία των εταιρειών.