Slik sikrer du organisasjonen mot misbruk av RDP

En av Uninetts kunder ble nylig utsatt for et alvorlig utpressingsangrep hvor kriminelle inntrengere skaffet seg urettmessig tilgang til interne systemer og krypterte en stor mengde filer, for deretter å kreve løsepenger. Slike angrep omtales ofte som løsepengevirus.

Etterforskningen etter hendelsen har vist at inntrengerne fikk tilgang ved å knekke et passord til RDP-tjenesten (Remote Desktop Protocol) ved hjelp av et «brute force»-angrep. Et «brute force»-angrep går ut på at angriperen prøver mange vanlige kombinasjoner av brukernavn og passord i håp om å gjette riktig og få tilgang.

Uninett CERT ser også at det foregår utbredt RDP-skanning og et stort antall «brute force»-angrep fra samme trusselaktør mot IP-adresser hos flere andre kunder.

Det er velkjent at RDP er et populært angrepsmål for kriminelle, og en vesentlig andel av vellykkede utpressingsangrep utføres via RDP. Vi oppfordrer derfor til å iverksette tiltak som vanskeliggjør angrep mot maskiner som tilbyr RDP-tjenester.

Relevante tiltak for å sikre RDP kan være:

  • Vurder å blokkere generell ekstern tilgang til RDP (blokker innkommende trafikk til TCP port 3389)
  • Vurder å kun tillate RDP-oppkobling via VPN e.l.
  • Sett begrensninger på hvilke brukere som kan logge inn via RDP
  • Sørg for at brukere ikke benytter svake passord (ev. via policy)
  • Innfør tofaktorautentisering for RDP-innlogging
  • Sett en begrensning på antall innloggingsforsøk («account lockout policy»)

Uninett CERT mottar regelmessig lister fra Shadowserver over IP-adresser i forskningsnettet med åpne og nåbare RDP-tjenester. Vi vil videreformidle lister over relevante IP-adresser til de berørte kundene.

Ta gjerne kontakt med Uninett CERT hvis du har spørsmål.