Аналитики «Лаборатории Касперского» представили отчет «Удаленка — история года», в котором подводят итоги года в свете пандемии коронавируса, а также рассказывают об изменениях, которые произошли в компаниях по всему миру в связи с переходом на удаленную работу.

В частности. исследователи сообщают, что с января по ноябрь 2020 года количество RDP-атак увеличилось в 3,4 раза: за этот период было зафиксировано 174 000 000 таких инцидента.

Эксперты объясняют это массовым переходом сотрудников на удаленный режим работы: число подключений по RDP значительно увеличилось, чем и поспешили воспользоваться злоумышленники. В феврале, то есть до введения строгого карантина, число атак через RDP составляло 3 800 000, а в марте, с усилением ограничительных мер, — уже 11 100 000. Пик мошеннической активности пришелся на июль текущего года (более 25 100 000 атак), а в ноябре этот показатель был равен почти 18 000 000.

Как правило, в ходе RDP-атаки злоумышленники пытаются подобрать логин и пароль при помощи автоматизированных средств, а также по спискам распространенных и скомпрометированных паролей. В случае успеха они получают удаленный доступ к машине, на которую нацелена атака.

Также из отчета видно, что мошенники активно эксплуатировали популярность мессенджеров и сервисов для видео- и конференцсвязи, под видом которых распространяли вредоносный софт. Так, в 2020 году компания выявила почти 1 700 000 уникальных вредоносных файлов по всему миру, замаскированных подобным образом. Чаще всего эти файлы представляли собой загрузчики либо рекламное ПО.

«2020 год многому научил нас с точки зрения ответственного использования технологий. Пользователи раньше не прибегали к средствам для удаленного взаимодействия настолько активно, они не были достаточно осведомлены об онлайн-угрозах и в итоге оказались уязвимы. То же самое можно сказать и о компаниях, для которых переход на удалённый режим работы проходил в спешке: многие из них в первую очередь хотели добиться работоспособности инфраструктуры, а ее безопасность была второстепенной задачей. Учиться пришлось, наступая на грабли: оценив реальные риски, представители бизнеса осознали важность надёжных защитных решений, а также необходимость повышать киберграмотность», — комментирует Дмитрий Галов, эксперт по кибербезопасности «Лаборатории Касперского».

10 комментариев

  1. Аватар

    0d8bc7

    16.12.2020 в 13:53

    Ну хз, лично я RDP не пользуюсь, потому что это жутко неудобно. Я бы сказал, пользоваться им вообще невозможно. Когда подключаешься к RDP, размер экрана устанавливается в размер окна клиента, окнам на сервере приходится перестраиваться, а главное, сессия вообще блокируется (или отключается, если речь о RDP-сессии, а на сервере пользователь возвращается в свою сессию). Тогда как при подключении по VNC или TeamViewer ты видишь ровно то, что видишь на своём мониторе. Да, я имею ввиду подключение к своему же домашнему компу)) Единственное, нужно тогда иметь возможность отрубить ввод и вывод как-нибудь костылём (но с этим я пока не заморачивался).
    А вот у тех, кто подключается к своим рабочим местам, видимо, другая логика. И им из доступных решений остаётся только RDP.
    Вывод: если делать программу для удалённого доступа, то она должна поддерживать и подход VNC/TeamViewer, и подход RDP. Ну а пока приходится жить с чем есть ¯\_(ツ)_/¯

    • Аватар

      0d8bc7

      16.12.2020 в 14:08

      На всякий случай приношу свои извинения, если я ступил и у этих программ есть альтернативные режимы.
      Но, в любом случае, их настройки слишком сложны и неочевидны. А в ИБ, как известно, настраивать доступ нужно грамотно, но поскольку рядовому пользователю делать это, скорее всего, будет влом, то хотя бы сами настройки должны быть оформлены грамотно.

    • Аватар

      falcon4fun

      16.12.2020 в 15:22

      У RDP есть наиогромнейший плюс: RemoteFX или аппаратное ускорение GPU, которое шикарно работает в 10-ке. Поэтому смотреть потоковое видео и даже играть можно без каких-либо проблем с нормальной частотой кадров, а не убогим цветом и 1.5 кадра, либо диким оверхэдом в CPU. Да-да, привет VNC. Ни один его пресет не даёт нормального баланса между качеством и картинкой.

      Да и любые альтернативы вроде богомерзкого тимвивера, который периодически дисконнектит, а то и вообще отбрыкивает лицензию по причине обнаружения коммерции, которой нет.
      А Anydesk, например, работает через драйвер монитора или что-то вроде того и если монитор физически отключить (например крышку ноута закрыть), то он не сможет получить изображение никак.

      Бтв, всегда есть лицензия на терминальный сервер на одновременное количество подключений, если это сервер 🙂

      Ну либо wrapper, либо патч либы.
      https://winitpro.ru/index.php/2015/09/02/neskolko-rdp-sessij-v-windows-10/

      Всё уже разжевано мильйоны раз еще со времен 7-ки.

      • Аватар

        0d8bc7

        16.12.2020 в 18:18

        С тем, что этот плюс значительный, я согласен.
        С тем, что TeamViewer богомерзкий, я согласен (но просто он, как мне кажется, побыстрее VNC и побезопаснее незашифрованного VNC, а так в софте для удалённого управления я не очень разбираюсь, к сожалению).
        Про то, что можно даже в игры играть, не знал. Если так, то неплохо)
        Но вот то, что RDP-сервер от Microsoft, всё же не очень хорошо, т.к. он может быть дырявым (MS же), и его даже не обновить (по-простому, как минимум). Если Windows 7, например.
        Также не очень хорошо, если ты не доверяешь терминалу (где клиент RDP), но должен вводить там авторизационные данные от Винды. Хотя, если RDP в виртуалке, то не страшно.
        А так спасибо за информацию, надо будет попробовать как-нибудь 🙂
        Хотя было бы хорошо, если бы были ещё какие-нибудь хорошие и open-source альтернативы, но я пока не особо вникал, надо будет хорошо погуглить как-нибудь…

    • Аватар

      Anon

      22.12.2020 в 02:23

      Про «жутко неудобно» и «размер экрана в размер клиента» — научитесь пользоваться и не вводите людей в заблуждение. Видно, что первый пост написали на эмоциях, ms я тоже не любил еще с 90х. Про безопасность — RDP прекрасно работает через vpn даже через мобильный телефон.
      Если бы тут можно было вложить скриншоты, вы бы увидели, насколько удобно подключаться к одному рабочему месту с linux, mac, планшета и мобильного телефона.

      • Аватар

        0d8bc7

        23.12.2020 в 20:09

        «Научиться пользоваться», конечно, можно, если заведомо считать, что есть какие-то тонкие настройки, которые я должен найти. А откуда же мне знать, есть ли они? 🤔 Если всё, что я могу видеть, это переключатель в окошке из свойств системы, ещё там кнопочка выбора пользователей, но это уже другое. А в RDP-клиенте можно установить конкретный размер удалённого рабочего стола… Ладно, признаю́ , это можно использовать в простых случаях. Но, по-хорошему, должно быть возможно запретить клиенту изменять размер экрана сервера.
        А главное, должна быть мотивация. А я вот только из этой ветки сейчас узнаю́ о том, что любителей RDP так много 🙂 И что, оказывается, RDP это норм тема, которая заслуживает более внимательного изучения.
        Про безопасность — если без VPN никак, то это уже не норм. И не было этой проблемы, если бы были разные варианты RDP-сервера, а не только от MS. Но ладно, фиг с ним. Но есть ещё необходимость «поделиться» своим паролем от Windows с мобильным телефоном, а для этого нужно быть уверенным, что в самом телефоне нет никакой малвари.
        Но да, вы правы, в какой-то мере я написал пост на эмоциях 😔 Но, с другой стороны, я в этом же посте заметил наличие разницы между характерами использования. И вот именно при таком характере использования, как у меня, не помешали бы норм настройки, а не 3.5 галочки. Прежде всего, на сервере.
        Но я повторюсь, может быть, RDP действительно заслуживает рассмотрения. Спасибо, народ 🙂 А без ваших ответов я бы и не знал даже.
        Ну и, может, кто-то такой же, как я, и им это тоже поможет 😉
        Но всё же, лучше бы был норм выбор, и в протоколах, и в реализациях серверов RDP, потому что зависимость от одной только MS — тоже как-то не очень…

  2. Аватар

    miradmin

    16.12.2020 в 18:08

    «…в ходе RDP-атаки злоумышленники пытаются подобрать логин и пароль при помощи автоматизированных средств…»
    Как правило — безрезультатно. Например, ни разу не видел, чтобы вменяемые админы задавали имена пользователей, которые участвуют в «переборе», типа BUH, ADMIN, FINANCE, IRINA, IVAN и прочие. Такое впечатление, что «хакеры» и их роботы считают всех остальных идиотами или сами являются таковыми. А учётным записям «Администратор» и «Administrator» должен быть запрещён вход на сервер посредством RDP.
    И любой такой «подбиральщик паролей» в течении пяти минут оказывается в списке AbuseIPDB и запрет на месяц соединений с IP, с которого производится атака.

    • Аватар

      Aslan

      21.12.2020 в 16:04

      Вот Вы так пишете, можно подумать, аудит безопасности в ваших сетях не выявит ни единого «банального» упущения. Уровень банальности для всех разный, это надо понимать. Вы видите коллег с сопоставимым вашему уровем — это надо тоже понимать. Есть тысячи контор, в которых админа или нет, или его уровень — эникей. Что произошло, когда им понадобилась удалёнка? Купили у провайдера белый IP, пробросили порт на нужный комп. Какой комп самый нужный? Главбуха.
      Эти «хакеры» занимаются зарабатыванием денег, и если просканировать 1000 компьютеров в поисках одного идиота стоит меньше, чем на этом идиоте можно заработать, они это сделают.
      Если бы не было «лохов», не было бы и мошенников. Да, есть взломы высокого уровня, но есть и вот такие, брутфорсом или по широко известным уязвимостям. Точно так же, как в физическом мире есть хитроумные ограблеия банков и многоходовые аферы, а есть карточные шулеры и гоп-стоп.

  3. Аватар

    Laglag

    16.12.2020 в 22:19

    Люди растут, от простого к сложному. Это легко вот с обоих сторон. Знаний не хватает.
    Ненавижу тимвивер. Сам протокол rdp как писали выше по его силе равных нет.
    Будут ломать лишь в первую очередь лишь то что легко сломать.
    Как говорили в другом коменте правелтно подмечено что стандартные имена нельзя использовать. По грамотным настройкам промолчу, кушать и так хочется. По настройкам статей хватает покупайте доступ и настраиваете.

  4. Аватар

    Laglag

    16.12.2020 в 22:23

    Каспер это та ещё мразь сливаюшая информацию. Хотел даже устроится туда. Написал даже свою почту. Задачки решил.
    Готовый проект скинул. Это все слухи чисто из новостей что он слил того то и того то. Но все же пришлось задуматься. Гризли нубский антивирус. Вообще норм не работает. Пропускает вирусы.

Оставить мнение