Har du sikret virksomhedens RDP-port?

I forbindelse med Rackhostings medlemsskab af Det Nationale Cyber Crime Center NC3, har vi netop modtaget nedenstående bulletin vedr. RDP-porte, som vi synes er vigtig at dele.

____________________

Har du sikret virksomhedens RDP-port?

NC3 ser for tiden flere eksempler på, at kriminelle udnytter en sårbarhed i virksomheders it-systemer. Sårbarheden skyldes svagt forskansede RDP-porte, der kan forceres, så hackere får uberettiget adgang til systemerne.

Når RDP-porten står åben, kan de kriminelle få adgang til store dele af computeren og serveren, som derefter udnyttes til mange forskellige former for kriminalitet. Åbne RDP-porte bliver udnyttet til:

-          at skaffe brugernavne og adgangskoder, som derefter benyttes til CEO-bedrageri, hvor gerningsmanden giver sig ud for at være leder eller lignende og forsøger at snyde medarbejdere til at overføre penge.

-          at kryptere/låse serveren, hvorefter gerningsmanden kræver en løsesum (ransomware) på ofte store beløb til for at få dekrypteret serveren igen.

-          mange former for bedrageri, hvor gerningsmænd logger på computeren og benytter den til kommunikation med potentielle ofre.

Der er mange muligheder for gerningsmænd at benytte RDP-porten til forskellige former for kriminalitet, herunder af børnemisbrugere til distribution af ulovligt materiale.

Hvordan opererer gerningsmændene?

Når gerningsmændene finder åbne RDP-porte forsøger de et listebaseret angreb. Der findes en liste med brugernavne og en liste med adgangskoder. Gerningsmændene tager hvert brugernavn i listen over brugernavne og kombinerer det med alle adgangskoderne i listen med adgangskoder.

Hvis de finder et brugernavn og et password, der accepteres af serveren, gemmer de kombinationen. De kriminelle bruger herefter selv adgangen eller sælger den til andre.

Hvad kan du gøre for at sikre din virksomhed?

NC3 anbefaler følgende forholdsregler i din virksomhed:

1. Brug en svær adgangskode – gerne på mere end 12 karakterer. Brug eksempelvis en sætning, en remse eller lignende. Adgangskoden må ikke benyttes på andre steder.
2. Undgå at bruge rene navne som brugernavne. Brugernavnelisten indeholder kendte danske navne som Niels, Frederik, Johanne, Ruth mv. Ved at gøre brug af de navne har gerningsmændene desværre lykkedes med deres forehavende. Det anbefales derfor, at brugere med RDP-adgang ikke benytter et rent navne som brugernavn.
3. Foretag en gennemgang af brugernes RDP-adgang, og luk for adgangen for dem, der ikke længere har brug for den.
4. Skift RDP-port. I stedet for at benytte standardporten 3389, så skift til en anden ubenyttet port. Dermed vil de kriminelle, der scanner som beskrevet ovenfor, ikke få brugbart svar fra serveren. Kun kriminelle der specifikt går efter en bestemt server og scanner alle portene, finder den nye port, som RDP fungerer på.

Desuden henvises til virksomhedsguiden ”Forholdsregler ved brud på it-sikkerhedssystemer”, som ligger på www.politi.dk/samarbejde/nc3skyt.

____________________

I Rackhosting er IT-sikkerhed og databeskyttelse et magtpåliggende, som vi tager absolut seriøst på egne og på vores kunders vegne. Læs mere om nogle af vores sikkerhedsløsninger.