Con la pandemia e il conseguente aumento di aziende in smart working, il protocollo RDP è diventato uno dei vettori di attacco preferito dai cyber criminali. Ecco i rischi di una sua errata implementazione e le contromisure da prendere per difendere il proprio perimetro di sicurezza.
Si tratta, per distacco, di uno dei protocolli più utilizzati per questo genere di connettività nelle organizzazioni di tutto il mondo.
Nella primavera del 2020, quando tante aziende si sono viste costrette a chiudere i propri uffici “fisici”, gli attacchi verso il protocollo RDP sono aumentati esponenzialmente. Nel periodo da febbraio a marzo 2020 si è passati da 93,1 milioni a 277,4 milioni di attacchi a livello globale, per un incremento del 197%.
L’andamento ha seguito in larga misura le varie ordinanze e decreti di lockdown sancite nei principali paesi occidentali, con un ulteriore picco in corrispondenza dell’annuncio del secondo lockdown nell’inverno 2020-2021. In linea generale, tracciando una media degli attacchi, il numero è continuato ad aumentare, con un incremento del 768% da inizio a fine 2020.
Protocollo RDP: un obiettivo interessante per i cyber criminali
Dall’inizio della pandemia fino a febbraio 2021 sono stati in totale 377,5 milioni gli attacchi brute-force rivolti verso il protocollo RDP, una cifra quasi quattro volte superiore rispetto all’anno precedente. E questo protocollo è di particolare interesse per gli aggressori perché permette loro di ottenere il controllo completo sulla macchina.
Con l’utilizzo ancora più ampio di questa tecnologia, i cyber criminali concentreranno i propri sforzi in questo ambito per approfittare della situazione. Spesso i dipendenti non sono consapevoli dei rischi legati all’utilizzo di applicazioni per l’accesso da remoto e non conoscono modalità più sicure per ottenere lo stesso risultato.
La maggior parte degli attacchi all’RDP rilevati dai ricercatori di sicurezza sono, come già detto, di tipo brute-force. Si tratta di un approccio piuttosto rozzo che richiede uno sforzo minimo da parte degli aggressori ma che offre comunque buoni risultati perché gli utenti continuano a utilizzare password semplici che possono essere “forzate” senza troppa difficoltà.
Vale la pena notare, inoltre, che gli aggressori potrebbero sfruttare vulnerabilità note per attaccare il protocollo RDP e che Microsoft ha reso disponibili diverse patch durante tutto il 2020.
E se RDP non è il solo protocollo utilizzato, un’azienda rimarrebbe comunque a rischio nel caso utilizzi, per esempio, VNC.
Attacchi al protocollo RDP: numeri in aumento
Se gli attacchi al protocollo RDP non sono stati sicuramente l’unica minaccia degna di nota nell’anno passato, è stata la tipologia a crescere maggiormente secondo i ricercatori di ESET.
I cryptominer sono tornati ad aumentare per la prima volta dal 2018, trend probabilmente legato all’aumento del valore di Bitcoin e i downloader hanno visto un simile aumento nello scorso anno.
I ransomware hanno dovuto adattarsi al nuovo panorama lavorativo, cercando di violare anche in questo caso i sistemi di accesso da remoto (per ottenere persistenza) o altre vulnerabilità per sottrarre dati e porre in atto doppie estorsioni.
L’implementazione frettolosa e una configurazione spesso “arrabattata” del protocollo RDP in tante aziende rappresentano due fattori rilevanti nell’aumento di questa tipologia di attacco. Il vettore, già piuttosto gettonato, è diventato ancora più accessibile considerando l’aumento del numero di utenti e un livello di attenzione alla sicurezza inferiore al solito.
Come difendersi da questa minaccia
La prima contromisura da adottare a livello aziendale, se si fa uso del protocollo RDP, è formare i propri dipendenti e sottolineare quanto sia importante utilizzare password forti e ad alto livello di complessità. È inoltre consigliabile conservare le password in un password manager (per una sicurezza ancora superiore).
Non sarebbe male, inoltre, utilizzare una connessione VPN aziendale per accedere al protocollo RDP. Questo sistema di accesso consente un’autenticazione aggiuntiva prima di stabilire una connessione col server (opzione consigliata). Se l’RDP non è in uso, il protocollo andrebbe disattivato.
Ora che i criminali hanno identificato l’RDP come un vettore di accesso efficace, questi attacchi non sembrano destinati a placarsi. Specialmente se le aziende sceglieranno di continuare ad avvalersi del lavoro da remoto anche a emergenza rientrata.
Questo significa che nella pratica RDP rimarrà molto in voga anche dopo la pandemia, dato che molti dipendenti si stanno trovando bene con lo smart working. Ciò posto, a livello numerico è lecito aspettarsi un decremento da lieve a moderato del numero totale di attacchi all’RDP.
Concentrare i propri sforzi nella messa in sicurezza e nel rafforzamento dei sistemi di connettività da remoto, contribuendo alla stabilizzazione e ad un ulteriore decremento degli attacchi RDP andati a segno nei mesi a venire, è un obiettivo da porsi in maniera trasversale.
Non abbassiamo la guardia.