בגלל הקורונה: גידול במתקפות על שולחן העבודה מרחוק של מיקרוסופט

כלי שולחן העבודה המרוחק (RDP) של מיקרוסופט הפך לווקטור תקיפה מרכזי עבור האקרים בעקבות מגפת הקורונה – כך על פי דו"ח שמק'אפי פרסמה אתמול (ד'). בדו"ח חדש שהנפיקה ענקית האבטחה היא ממפה את המדינות שסובלות ממירב המתקפות על כלים אלה וחושפת את הסיסמאות שנמצאות בשימוש הרב ביותר באירועים הללו.

מגפת הקורונה הובילה חברות רבות לאפשר עבודה מרחוק, כאשר אחד הכלים הנפוצים המעניק לעובדים גישה למידע פנימי של הארגון מרחוק הוא פרוטוקול ה-RDP של מיקרוסופט. ארגונים רבים העלו לאוויר במהירות מערכות מקוונות לעבודה מרחוק, כשהרצון לשמור על הרציפות התפעולית ולא לפגוע בזמינות העסקית גבר לעתים על הצורך בבדיקות אבטחה מקיפות – מה שהעניק להאקרים הזדמנות לתקוף ביתר קלות.

ברוב המקרים, RDP פועל על גבי Windows ומארח שירותים כגון שרתי אינטרנט או שרתי קבצים. בחלק מהמקרים, הוא מחובר גם למערכות בקרה תעשייתיות. יציאות RDP חשופות ברוב המקרים לרשת האינטרנט, מה שהופך אותן למעניינות במיוחד עבור התוקפים. כך, גישה לתיבת RDP יכולה לאפשר לתוקף קבלת גישה לרשת שלמה, שבדרך כלל תשמש אותו כנקודת כניסה להפצת תוכנות זדוניות או כל פעילות פלילית אחרת.

פעילות מחתרתית ענפה סביב ה-RDP

צוות חוקרי האיומים המתקדמים של מק'אפי חשף פעילות מחתרתית ענפה סביב ה-RDP, עם עלייה משמעותית במסחר בדארקנט באישורי RDP – ובעלות נמוכה יחסית. על פי המחקר, מאז מרץ 2020, מספר יציאות ה-RDP החשופות לתקיפה גדל משמעותית. מספר היציאות שנחשפו לרשת גדל במהירות תוך חודשיים: מכשלושה מיליון בינואר האחרון ליותר מ-4.5 מיליון במרץ.

חיפוש ב-Shadon, מנוע החיפוש שסורק את הצד האחורי של רשת האינטרנט ומציג את כל ההתקנים המחוברים אליה, חושף את מספר יציאות ה-RDP שנחשפו לאינטרנט בפילוח מדינות בחודש אפריל. המדינות עם המספר הגבוה ביותר של מערכות RDP שנחשפו לסיכון גבוה הן סין (1.3 מיליון) וארצות הברית (1.2 מיליון), שמובילות בפער עצום על מדינות כמו גרמניה (180 אלף), הולנד (114 אלף) וברזיל (110 אלף).

מה הגישה נותנת להאקרים?

הגישה למערכת מרוחקת עלולה לאפשר להאקרים לבצע כמה פעולות פליליות: הפצת דואר זבל, כאשר יש לא מעט מערכות שנמכרות במחתרת במיוחד למטרה זו; הפצת נוזקות – כל מערכת חשופה מהווה עבור התוקף מכשיר מוכן לשימוש, למגוון מטרות, כמו הפצת נוזקות, ומפתחי הכופרות מרבים להשתמש בווקטור זה לביצוע מתקפות ממוקדות נגד ארגונים ברחבי העולם; וקריפטומיינינג – שימוש במחשב הקורבן ללא ידיעתו לטובת כריית מטבעות דיגיטליים.

עוד מציינים החוקרים כי ניתן לעשות שימוש לרעה במערכת המרוחקת לביצוע הונאות נוספות, כמו גניבת זהות או איסוף מידע אישי.

"גם לאחר מגפת הקורונה", סיכמו החוקרים, "ארגונים רבים יבחרו לאמץ את יתרונות העבודה מהבית, ורבים מהם משתמשים בפרוטוקול RDP לשם כך. כדי להישאר מוגנים, חשוב להקפיד על נהלי האבטחה הטובים ביותר, החל מהבסיס, כגון שימוש בסיסמאות חזקות ותיקון בזמן אמת של חולשות ונקודות תורפה".

על רקע המעבר לעבודה מהבית והעלייה בכמות המתקפות, מיקרוסופט פרסמה באמצע אפריל מדריך כיצד להתגונן ממתקפות על מערכת ה-RDP.