Una delle conclusioni che possiamo già trarre da questo periodo di quarantena è che il lockdown non ha messo alcun freno alle attività dei criminal hacker, anzi è di fatto divenuto incentivo aggiunto per intensificare le loro attività.
Sappiamo per certo che, dati alla mano, i criminali informatici prendono sempre più di mira le risorse aziendali e gli strumenti utilizzati dai dipendenti che si sono spostati in smart working forzato, in osservanza delle varie misure governative dettate dall’emergenza epidemiologica.
D’altronde, per mantenere il giusto livello di Business Continuity si è reso necessario per tanti continuare ad avere accesso ai dispositivi presenti on-site in azienda anche da remoto. Questo non ha fatto altro che aumentare la possibile superfice d’attacco a disposizione dei criminal hacker.
Una soluzione molto popolare per accedere ai sistemi aziendali a distanza è il Remote Desktop Protocol di Windows (RDP) che consente di accedere alle postazioni di lavoro Windows o ai server da casa.
Sfortunatamente, molti dei server RDP utilizzati per aiutare gli smart worker sono direttamente esposti a Internet e, se mal configurati, corrono il rischio di esporre il network aziendale a cyber attacchi.
Indice degli argomenti
Gli attacchi brute force
Come dettagliato in un rapporto pubblicato negli ultimi giorni da un gruppo di ricerca statunitense, quasi tutti i Paesi hanno visto un’enorme crescita, dall’inizio di marzo 2020, del numero di attacchi brute force (forza bruta) lanciati dai criminal hacker contro gli RDP esposti.
In questo tipo di attacchi, vengono utilizzati strumenti automatizzati per inserire combinazioni di nomi utente e password da elenchi di credenziali precedentemente compromesse durante data breach passati.
Una volta che gli aggressori indovineranno la combinazione giusta, avranno pieno accesso alla macchina bersaglio e, di solito, utilizzeranno questo accesso per rubare informazioni sensibili, per installare malware o spostarsi lateralmente all’interno della rete dell’organizzazione per trovare obiettivi più preziosi e stabilire silenziosamente la loro permanenza nel network.
Un attacco di forza bruta, per sua natura, non è chirurgico nell’approccio, ma opera per area e combinazione massiva di username e password.
Dal canto loro, i criminal hacker, in seguito alla transizione di massa verso il lavoro da remoto, hanno concluso logicamente che il numero di server RDP mal configurati sarebbe aumentato, da cui l’aumento del numero di attacchi.
Negli Stati Uniti, ad esempio, il numero di attacchi di forza bruta contro i server RDP è aumentato da 200mila al giorno all’inizio di marzo a oltre 1,2 milioni a metà aprile.
Secondo le statistiche di BinaryEdge e Shodan, attualmente oltre 4,5 milioni di dispositivi hanno un protocollo RDP mal configurato ed esposto a Internet.
Nonostante questo, anche se il numero di attacchi di forza bruta contro i servizi RDP è in crescita combinato con l’enorme numero di nuovi lavoratori remoti, non c’è stato veramente un aumento significativo dei server RDP esposti a Internet oltre il normale flusso rilevabile nei periodi “standard”.
Il trend di crescita degli attacchi, quindi, può essere più facilmente spiegato come serie di tentativi opportunistici di sfruttare ciò che gli aggressori vedono come un vettore di attacco in crescita (anche se i fatti dicono che gli RDP insicuri non sono sproporzionalmente aumentati) contro le aziende che devono fornire ai loro dipendenti l’accesso remoto alle risorse IT aziendali.
Un fenomeno che parte da lontano
Anche se i numeri recenti sono da considerare un’anomalia, gli attacchi contro gli RDP non sono comunque una novità, anzi sono in aumento dalla fine del 2016, grazie alla popolarità dei marketplace del Dark Web che vendono gli accessi a reti e dispositivi compromessi.
Nel 2017, per esempio, più di 85mila server erano disponibili tramite xDedic, uno store del Dark Web in cui i server hackerati venivano venduti a un prezzo medio di 6 dollari ciascuno.
Gli attacchi di forza bruta sono particolarmente temuti perché spesso costituiscono anche il primo step negli attacchi ransomware, gli esempi più recenti sono Dharma e DoppelPaymer, che costringono i server RDP esposti e mal configurati delle aziende a distribuire i loro payload dannosi.
In modo speculare, i criminal hacker dietro queste due varianti ransomware inizieranno anche a cercare altri server RDP sulla stessa rete e, secondo un rapporto Microsoft del mese scorso, si faranno strada con la forza bruta anche in quelli, spostandosi lateralmente verso altri sistemi e disattivando i controlli di sicurezza ovunque possibile, dopo una fase di ricognizione della rete.
Come difendersi
È importante ricordare che l’utilizzo di RDP per accedere alle postazioni di lavoro o ai server a distanza non è qualcosa da scartare a priori, anzi, ma la loro corretta configurazione deve essere il primo punto d’attenzione quanto si decide di utilizzarli.
Ecco alcune misure e best practice per rendere sicuro il protocollo RDP:
- utilizzare password forti;
- rendere disponibile l’RDP solo attraverso una VPN aziendale;
- utilizzare l’autenticazione a livello di rete (NLA);
- se possibile, abilitare l’autenticazione a due fattori;
- se non si utilizza RDP, disattivarla e chiudere la porta 3389.
Si dovrebbero anche abilitare i criteri di blocco degli account per intercettare eventuali attacchi di forza bruta, poiché questi bloccheranno temporaneamente i login sugli account dopo un certo numero di tentativi falliti.
L’abilitazione delle politiche di revisione degli account può allo stesso modo aiutare a prevenire tali attacchi, permettendo agli amministratori di vedere quali account mostrano ripetutamente errori di login e quindi potenzialmente oggetto di attacco.
