Etterforskningen etter hendelsen har vist at inntrengerne fikk tilgang ved å knekke et passord til RDP-tjenesten (Remote Desktop Protocol) ved hjelp av et «brute force»-angrep. Et «brute force»-angrep går ut på at angriperen prøver mange vanlige kombinasjoner av brukernavn og passord i håp om å gjette riktig og få tilgang.

Uninett CERT ser også at det foregår utbredt RDP-skanning og et stort antall «brute force»-angrep fra samme trusselaktør mot IP-adresser hos flere andre kunder.

Det er velkjent at RDP er et populært angrepsmål for kriminelle, og en vesentlig andel av vellykkede utpressingsangrep utføres via RDP. Vi oppfordrer derfor til å iverksette tiltak som vanskeliggjør angrep mot maskiner som tilbyr RDP-tjenester.

Relevante tiltak for å sikre RDP kan være:

• Vurder å blokkere generell ekstern tilgang til RDP (blokker innkommende trafikk til TCP port 3389)
• Vurder å kun tillate RDP-oppkobling via VPN e.l.
• Sett begrensninger på hvilke brukere som kan logge inn via RDP
• Sørg for at brukere ikke benytter svake passord (ev. via policy)
• Innfør tofaktorautentisering for RDP-innlogging
• Sett en begrensning på antall innloggingsforsøk («account lockout policy»)

Uninett CERT mottar regelmessig lister fra Shadowserver over IP-adresser i forskningsnettet med åpne og nåbare RDP-tjenester. Vi vil videreformidle lister over relevante IP-adresser til de berørte kundene.

Ta gjerne kontakt med Uninett CERT hvis du har spørsmål.