FBI Memperingatkan Peretas Mengeksploitasi Remote Desktop Protocol (RDP)

Daftar Isi:

Anonim

Kemampuan peretas untuk mengeksploitasi hampir semua kerentanan merupakan salah satu tantangan terbesar bagi penegakan hukum - dan bagi usaha kecil. Biro Investigasi Federal baru-baru ini mengeluarkan peringatan kepada bisnis dan lainnya tentang ancaman lain. Peretas telah mulai mengeksploitasi Remote Desktop Protocol (RDP) untuk melakukan kegiatan berbahaya dengan frekuensi yang lebih besar.

Menurut FBI, penggunaan Remote Desktop Protocol sebagai vektor serangan telah meningkat sejak pertengahan hingga akhir 2016. Peningkatan serangan RDP sebagian telah didorong oleh pasar gelap yang menjual akses Remote Desktop Protocol. Aktor-aktor jahat ini telah menemukan cara untuk mengidentifikasi dan mengeksploitasi sesi RDP yang rentan melalui Internet.

$config[code] not found

Untuk usaha kecil yang menggunakan RDP untuk mengontrol komputer rumah atau kantor mereka dari jarak jauh, kewaspadaan lebih lanjut diperlukan termasuk menerapkan kata sandi yang kuat dan mengubahnya secara teratur.

Dalam pengumumannya, FBI memperingatkan, "Serangan menggunakan protokol RDP tidak memerlukan input pengguna, membuat intrusi sulit dideteksi."

Apa itu Remote Desktop Protocol?

Dirancang untuk akses dan manajemen jarak jauh, RDP adalah metode Microsoft untuk menyederhanakan transfer data aplikasi antara pengguna klien, perangkat, desktop virtual, dan server terminal Remote Desktop Protocol.

Sederhananya, RDP memungkinkan Anda mengontrol komputer Anda dari jarak jauh untuk mengelola sumber daya Anda dan mengakses data. Fitur ini penting untuk bisnis kecil yang tidak menggunakan komputasi awan dan bergantung pada komputer atau server mereka yang diinstal di tempat.

Ini bukan pertama kalinya RDP menyajikan masalah keamanan. Di masa lalu, versi awal memiliki kerentanan yang membuatnya rentan terhadap serangan man-in-the-middle yang memberikan penyerang akses yang tidak sah.

Antara 2002 dan 2017 Microsoft mengeluarkan pembaruan yang memperbaiki 24 kerentanan utama terkait Remote Desktop Protocol. Versi baru lebih aman, tetapi pengumuman FBI menunjukkan peretas masih menggunakannya sebagai vektor untuk serangan.

Remote Desktop Protocol Hacking: Kerentanan

FBI telah mengidentifikasi beberapa kerentanan - tetapi semuanya dimulai dengan kata sandi yang lemah.

Agensi mengatakan jika Anda menggunakan kata-kata kamus dan Anda tidak menyertakan kombinasi huruf besar dan kecil, angka, dan karakter khusus, kata sandi Anda rentan terhadap serangan kasar dan serangan kamus.

Protokol Remote Desktop yang ketinggalan jaman menggunakan protokol Credential Security Support Provider (CredSSP) juga menghadirkan kerentanan. CredSSP adalah aplikasi yang mendelegasikan kredensial pengguna dari klien ke server target untuk autentikasi jarak jauh. RDP yang ketinggalan jaman memungkinkan untuk meluncurkan serangan man-in-the-middle yang berpotensi.

Kerentanan lain termasuk memungkinkan akses tidak terbatas ke port Remote Desktop Protocol (TCP 3389) default dan memungkinkan upaya masuk tanpa batas.

Peretasan Protokol Desktop Jarak Jauh: Ancaman

Ini adalah beberapa contoh ancaman yang didaftar oleh FBI:

CrySiS Ransomware: CrySIS ransomware terutama menargetkan bisnis AS melalui port RDP terbuka, menggunakan serangan brute-force dan kamus untuk mendapatkan akses jarak jauh yang tidak sah. CrySiS kemudian menjatuhkan ransomware ke perangkat dan menjalankannya. Aktor ancaman menuntut pembayaran dalam Bitcoin sebagai imbalan kunci dekripsi.

CryptON Ransomware: CryptON ransomware memanfaatkan serangan brute-force untuk mendapatkan akses ke sesi RDP, kemudian memungkinkan aktor ancaman untuk secara manual menjalankan program jahat pada mesin yang dikompromikan. Aktor maya biasanya meminta Bitcoin dengan imbalan arah dekripsi.

Samsam Ransomware: Samsam ransomware menggunakan berbagai eksploitasi, termasuk yang menyerang mesin yang mendukung RDP, untuk melakukan serangan brute-force. Pada Juli 2018, aktor ancaman Samsam menggunakan serangan brute force pada kredensial login RDP untuk menyusup ke perusahaan perawatan kesehatan. Ransomware mampu mengenkripsi ribuan mesin sebelum deteksi.

Pertukaran Web Gelap: Aktor ancaman membeli dan menjual kredensial login RDP curian di Web Gelap. Nilai kredensial ditentukan oleh lokasi mesin yang dikompromikan, perangkat lunak yang digunakan dalam sesi, dan setiap atribut tambahan yang meningkatkan kegunaan dari sumber daya yang dicuri.

Remote Desktop Protocol Hacking: Bagaimana Cara Melindungi Diri Anda?

Penting untuk diingat setiap kali Anda mencoba mengakses sesuatu dari jarak jauh, ada risiko. Dan karena Remote Desktop Protocol sepenuhnya mengendalikan sistem, Anda harus mengatur, memantau, dan mengelola siapa yang memiliki akses dekat.

Dengan menerapkan praktik terbaik berikut ini, FBI dan Departemen Keamanan Dalam Negeri A.S. mengatakan Anda memiliki peluang lebih baik terhadap serangan berbasis RDP.

  • Mengaktifkan kata sandi dan kebijakan penguncian akun yang kuat untuk mempertahankan diri dari serangan brute-force.
  • Gunakan otentikasi dua faktor.
  • Terapkan pembaruan sistem dan perangkat lunak secara teratur.
  • Memiliki strategi cadangan yang andal dengan sistem pemulihan yang kuat.
  • Aktifkan logging dan pastikan mekanisme logging untuk mengambil login Remote Desktop Protocol. Simpan log selama minimal 90 hari. Pada saat yang sama, tinjau login untuk memastikan hanya mereka yang memiliki akses yang menggunakannya.

Anda dapat melihat seluruh rekomendasi di sini.

Berita utama pelanggaran data ada di berita secara teratur, dan itu terjadi pada organisasi besar dengan sumber daya yang tampaknya tidak terbatas. Meskipun mungkin tampak mustahil untuk melindungi bisnis kecil Anda dari semua ancaman dunia maya di luar sana, Anda dapat meminimalkan risiko dan kewajiban jika Anda memiliki protokol yang tepat dengan tata kelola yang ketat untuk semua pihak.

Gambar: FBI