ผู้เชี่ยวชาญพบ Brute-force Attack RDP เพิ่มขึ้นกว่าปกติหลายเท่า แนะองค์กรเพิ่มมาตรการป้องกัน

ESET รายงานจำนวนของเหตุการณ์ Brute-force Attack การใช้งาน RDP เพิ่มขึ้นถึง 1 แสนครั้งต่อวันในเดือนเมษาและพฤษภาคมเทียบกับปลายปีก่อนที่มีแค่ 30,000 ครั้งต่อวัน โดยมีปัจจัยสนับสนุนมาจากการทำงานจากที่บ้าน

ด้วยสถานการณ์โควิท 19 ทำให้องค์กรต้องเปลี่ยนนโยบายมาทำงานที่บ้าน ซึ่งมีจำนวนไม่น้อยที่เปิด Remote Desktop ผ่านอินเทอร์เน็ตแต่มีมาตรการป้องกันไม่ดีพอ ทำให้คนร้ายสามารถ Brute-force รหัสผ่านซึ่งอาจจะเพราะว่าตั้งมาอ่อนแออยู่แล้ว หรือมีการใช้ซ้ำกับ Credentials ที่เร่ขายใต้ดินในราคาถูกมากมาย อย่างไรก็ตามจากรายงานของ ESET พบพฤติกรรมของคนร้ายหลังเจาะเข้ามาได้ดังนี้

• ลบ Log File เพื่อกลบร่องรอย
• ดาวน์โหลดเครื่องมืออื่นและมัลแวร์เข้ามาเพื่อแทรกแซงระบบ
• ปิดการตั้งเวลาสำรองข้อมูล เช่น Shadow Copies หรือลบทิ้ง
• ชโมยข้อมูลจากเซิร์ฟเวอร์

โดย ESET รายงานถึงผลความเสียหายว่าการที่องค์กรไม่ใส่ใจต่อการรักษาความปลอดภัย ทำให้อาจเจอกับแรนซัมแวร์ คริปโตไมเนอร์มัลแวร์ ได้รับผลกระทบทางการเงินและความน่าเชื่อถือ รวมถึงอาจถูกลงดาบซ้ำด้วยกฏหมายด้านข้อมูลต่างๆ ทั้งนี้ประเทศที่ตกเป็นเป้าหมายหลักของคนร้ายคือ สหรัฐฯ จีน รัสเซีย เยอรมันนี และฝรั่งเศส 

ถึงแม้ว่าเราอาจจะไม่ตกเป็นเหยื่อโดยตรงแต่ก็จำเป็นต้องใส่ใจเอาไว้เพราะก็มีหลายองค์กรโดนมาแล้ว ซึ่งผู้เชี่ยวชาญแนะนำวิธีป้องกันตัวไว้ดังนี้

• ปิดการเชื่อมต่อ RDP ผ่านอินเทอร์เน็ตหรือจำกัดจำนวนผู้ใช้งานที่จำเป็นจริงๆ
• บังคับให้ตั้งรหัสผ่านที่ซับซ้อนเพื่อใช้งาน RDP
• เปิดใช้ Multi-factors Authentication 
• ติดตั้ง VPN Gateway เพื่อรับการเชื่อมต่อ RDP จากภายนอก
• บนไฟล์วอลปิดการเชื่อมต่อจากภายนอกเข้ามายังเครื่องภายในที่พอร์ต 3389 หรือใดๆ ก็ตามที่เป็นบริการ RDP
• แยกระบบหรือเครื่องที่เก่ามากแล้วแต่ยังจำเป็นต้อง RDP ผ่านอินเทอร์เน็ตออกมาต่างหากและเตรียมทดแทนให้เร็วที่สุด

ที่มา :  https://www.bankinfosecurity.com/brute-force-attacks-targeting-rdp-on-rise-a-14531