Onderzoekers melden een toename in het aantal klanten die melding hebben gemaakt van brute-force aanvalspogingen sinds het begin van de COVID-19 pandemie. Slecht beveiligde remote access systemen trekken ransomware-bendes aan en worden gebruikt om 'coin miners' en 'backdoors' te implanteren.
Dagelijkse werkwijze radicaal veranderd
Onderzoekers bevestigen, op basis van telemetrie, een aanzienlijke toename in het aantal klanten die melding hebben gemaakt van brute-force aanvalspogingen. De pogingen zijn geblokkeerd via ESET’s Network Attack Protection en zijn nieuwe laag, Brute-Force Attack Protection.
Deze trend is waargenomen sinds het begin van de COVID-19 pandemie. De crisis heeft de dagelijkse werkwijze radicaal veranderd, waardoor werknemers gedwongen zijn grote delen van hun werk te doen via remote access.
Cybercriminelen, met name ransomware groeperingen , zijn zich bewust van de veranderingen en proberen deze te benutten om hun illegale inkomsten te vergroten.
In de periode tussen januari 2020 en mei 2020 stonden de Verenigde Staten, China, Rusland, Duitsland en Frankrijk bovenaan de lijst van landen met de meeste IP-adressen die worden gebruikt voor brute-force aanvallen.
Kantoorwerk via thuisapparatuur
"Voor de lockdown werkten de meeste medewerkers vanuit het kantoor en gebruikten ze infrastructuur die door hun IT-afdeling werd bewaakt en gecontroleerd. Maar de corona pandemie heeft een grote verschuiving in de omstandigheden teweeggebracht. Vandaag de dag gebeurt een groot deel van het 'kantoorwerk' via thuisapparatuur, waarbij werknemers toegang hebben tot gevoelige bedrijfssystemen via het Remote Desktop Protocol (RDP) van Windows ", legt Security Research & Awareness Specialist Ondrej Kubovič uit.
“Ondanks het toegenomen belang van RDP en andere diensten voor remote access, negeren organisaties regelmatig de instellingen en bescherming hiervan. Medewerkers gebruiken te gemakkelijke wachtwoorden en zonder extra authenticatie-lagen of bescherming is er weinig dat cybercriminelen ervan kan weerhouden om systemen van een organisatie te compromitteren”, vervolgt Kubovič.
Trend van RDP aanvalspogingen gericht op unieke klanten (per dag) gedetecteerd door ESET technologieën
Volgens telemetrie waren de meeste geblokkeerde IP’s tussen januari en mei 2020 te zien in de Verenigde Staten, China, Rusland, Duitsland en Frankrijk. Landen met het grootste aantal doelgerichte IP's waren Rusland, Duitsland, Japan, Brazilië en Hongarije.
Landen met het grootste aantal geblokkeerde IP-adressen (tussen 1 januari en 31 mei 2020)
Brute Force Attack Protection
Om de groeiende risico's van het toenemende RDP-gebruik aan te pakken, hebben onderzoekers een nieuwe detectie laag bedacht die onder de motorkap van Network Attack Protection verborgen zit. De laag is ontworpen om inkomende brute-force-aanvallen van externe IP-adressen te blokkeren, waarbij zowel RDP- als Server Message Block (SMB)-protocollen worden bestreken. De nieuwe functie heeft de naam 'Brute-Force Attack Protection' gekregen.
Bron: welivesecurity, eset