ESET รายงานจำนวนของเหตุการณ์ Brute-force Attack การใช้งาน RDP เพิ่มขึ้นถึง 1 แสนครั้งต่อวันในเดือนเมษาและพฤษภาคมเทียบกับปลายปีก่อนที่มีแค่ 30,000 ครั้งต่อวัน โดยมีปัจจัยสนับสนุนมาจากการทำงานจากที่บ้าน
ด้วยสถานการณ์โควิท 19 ทำให้องค์กรต้องเปลี่ยนนโยบายมาทำงานที่บ้าน ซึ่งมีจำนวนไม่น้อยที่เปิด Remote Desktop ผ่านอินเทอร์เน็ตแต่มีมาตรการป้องกันไม่ดีพอ ทำให้คนร้ายสามารถ Brute-force รหัสผ่านซึ่งอาจจะเพราะว่าตั้งมาอ่อนแออยู่แล้ว หรือมีการใช้ซ้ำกับ Credentials ที่เร่ขายใต้ดินในราคาถูกมากมาย อย่างไรก็ตามจากรายงานของ ESET พบพฤติกรรมของคนร้ายหลังเจาะเข้ามาได้ดังนี้
- ลบ Log File เพื่อกลบร่องรอย
- ดาวน์โหลดเครื่องมืออื่นและมัลแวร์เข้ามาเพื่อแทรกแซงระบบ
- ปิดการตั้งเวลาสำรองข้อมูล เช่น Shadow Copies หรือลบทิ้ง
- ชโมยข้อมูลจากเซิร์ฟเวอร์
โดย ESET รายงานถึงผลความเสียหายว่าการที่องค์กรไม่ใส่ใจต่อการรักษาความปลอดภัย ทำให้อาจเจอกับแรนซัมแวร์ คริปโตไมเนอร์มัลแวร์ ได้รับผลกระทบทางการเงินและความน่าเชื่อถือ รวมถึงอาจถูกลงดาบซ้ำด้วยกฏหมายด้านข้อมูลต่างๆ ทั้งนี้ประเทศที่ตกเป็นเป้าหมายหลักของคนร้ายคือ สหรัฐฯ จีน รัสเซีย เยอรมันนี และฝรั่งเศส
ถึงแม้ว่าเราอาจจะไม่ตกเป็นเหยื่อโดยตรงแต่ก็จำเป็นต้องใส่ใจเอาไว้เพราะก็มีหลายองค์กรโดนมาแล้ว ซึ่งผู้เชี่ยวชาญแนะนำวิธีป้องกันตัวไว้ดังนี้
- ปิดการเชื่อมต่อ RDP ผ่านอินเทอร์เน็ตหรือจำกัดจำนวนผู้ใช้งานที่จำเป็นจริงๆ
- บังคับให้ตั้งรหัสผ่านที่ซับซ้อนเพื่อใช้งาน RDP
- เปิดใช้ Multi-factors Authentication
- ติดตั้ง VPN Gateway เพื่อรับการเชื่อมต่อ RDP จากภายนอก
- บนไฟล์วอลปิดการเชื่อมต่อจากภายนอกเข้ามายังเครื่องภายในที่พอร์ต 3389 หรือใดๆ ก็ตามที่เป็นบริการ RDP
- แยกระบบหรือเครื่องที่เก่ามากแล้วแต่ยังจำเป็นต้อง RDP ผ่านอินเทอร์เน็ตออกมาต่างหากและเตรียมทดแทนให้เร็วที่สุด
ที่มา : https://www.bankinfosecurity.com/brute-force-attacks-targeting-rdp-on-rise-a-14531