Gli attacchi ransomware stanno diventando più mirati proprio per essere sempre più efficaci e uno dei principali vettori di attacco è il Remote Desktop Protocol (RDP) che permette tra le varie funzionalità anche di controllare da remoto un server oppure un singolo PC.
Attraverso l’ingegneria sociale o gli attacchi di tipo brute force, gli hacker possono ottenere le credenziali di accesso per un desktop remoto. Tramite questo accesso un attaccante potrà distribuire malware specializzati al fine di:
- Elevare i loro privilegi (quando necessario)
- Installare backdoor, come porte di accesso “privilegiato” per un uso futuro
- Distribuire ransomware e lasciare le istruzioni di pagamento
Questi punti di attenzione dovranno quindi essere verificati dalle aziende, che dovranno quindi prestare maggiore attenzione, al fine di evitare di subire una violazione.
Proprio per questo, è necessario attivarsi affinché questo attacco non si verifichi e fare del proprio meglio per impedirlo.
Lockdown RDP
Se si desidera distribuire software per gestire da remoto i computer aziendali, RDP è essenzialmente un protocollo sicuro e facile da usare, con un client preinstallato sui sistemi Windows (disponibile comunque anche per altri sistemi operativi).
È possibile adottare alcune misure per rendere più difficile l’accesso alla rete tramite connessioni RDP non autorizzate:
- posizionare l’accesso RDP dietro una VPN in modo che non sia direttamente accessibile;
- utilizzare un server Gateway Desktop remoto, che offre anche alcuni vantaggi operativi e di sicurezza aggiuntivi come 2FA, ad esempio. I registri delle sessioni RDP possono rivelarsi particolarmente utili quando si cerca di capire cosa potrebbe essere successo. Poiché questi registri non si trovano sulla macchina compromessa, sono più difficili da falsificare da parte di intrusi;
- utilizzare password complesse per rendere più difficile il successo di un attacco brute force;
- non disabilitare l’autenticazione a livello di rete (NLA), poiché offre un livello di autenticazione aggiuntivo;
- cambiare la porta RDP in modo che gli scanner che cercano porte RDP aperte mancheranno la propria. Per impostazione predefinita, il server è in ascolto sulla porta 3389 sia per TCP che per UDP. La modifica della porta non bloccherà un attacco, ma impedirà di apparire in un elenco di bersagli probabilmente facili;
- limitare gli utenti a coloro che ne hanno davvero bisogno;
- limitare l’accesso a IP specifici, se possibile in modo da limitare le possibilità di accesso ai servizi RDP.
Accesso RDP: patch per impedire l’elevazione dei privilegi
Esistono diverse possibilità per elevare i privilegi dell’utente sui computer Windows, anche quando si utilizza RDP. Assicurati che i sistemi siano completamente aggiornati e corretti per prevenire l’aumento dei privilegi e altri exploit.
Accesso RDP: limitare gli utenti
Il primo passaggio di questo processo consiste nel creare un gruppo di utenti a cui sarà consentito l’accesso remoto. Puoi farlo nella Console di gestione dei criteri di gruppo (GPMC.MSC).
- in questa console, selezionare Configurazione computer > Impostazioni di Windows > Impostazioni di sicurezza > Gruppi con restrizioni
- fare clic con il pulsante destro del mouse su Gruppi con restrizioni e quindi fare clic su Aggiungi gruppo
- fare clic su Sfoglia > digitare Remoto > fare clic su Verifica nomi > “UTENTI DESKTOP REMOTO“
- fare clic su OK nella finestra di dialogo Aggiungi gruppi
- fare clic su Aggiungi accanto alla casella MEMBRI DI QUESTO GRUPPO e fare clic su Sfoglia
- digitare il nome del gruppo di dominio, quindi fare clic su Verifica nomi > OK > OK
- sul PC, eseguire un prompt di comandi con privilegi elevati e digitare GPUPDATE/FORCE per aggiornare le group policy
- sotto il pulsante SELEZIONA UTENTI nella scheda REMOTE delle PROPRIETÀ DI SISTEMA del PC si dovrebbe vedere il gruppo creato
Ora è possibile accedere alle relative politiche locali aprendo Pannello di controllo > Sistema e sicurezza > Strumenti di amministrazione > Politica di sicurezza locale > Assegnazione diritti utente.
Rimuovere il gruppo “Administrators” dal criterio “Consenti accesso tramite Servizi Desktop remoto” e non permettere l’accesso all’account con il nome utente “Administrator“. Rimuovere anche il “Gruppo utenti desktop remoto” perché, per impostazione predefinita, il gruppo di utenti “Tutti” è un membro del gruppo “Utenti desktop remoto“.
Aggiungere l’utente o gli utenti per i quali si desidera avere accesso remoto al sistema e assicurarsi che dispongano dei diritti di cui hanno bisogno. Limitare le azioni che possono eseguire per limitare i danni che possono causare se l’account dovesse essere compromesso.
Accesso RDP: proteggere la rete dall’esterno e dall’interno
Probabilmente non è necessario sottolineare quanto sia importante proteggere la rete aziendale dall’esterno. Nel contesto degli attacchi RDP è importante applicare alcune misure di sicurezza interne. I PC che possono essere controllati da remoto dovrebbero essere in grado di utilizzare le risorse di rete ma non di distruggerle. Utilizzare politiche restrittive per tenere a bada i possibili danni che qualsiasi utente, non solo remoto, può scatenare.
Attacco ransomware tramite RDP
In caso di attacco ransomware tramite RDP, è bene adottare alcune misure per proteggere meglio la rete e gli endpoint. Dopo aver recuperato i file da un backup, è necessario controllare i sistemi per eventuali modifiche apportate dagli aggressori che renderebbero loro una visita futura più facile, specie se si è deciso di pagare il riscatto.
Per essere sicuri che non ci siano refusi, è necessario controllare non solo il PC in cui è stato eseguito il collegamento remoto per trovare Trojan backdoor e strumenti di hacking, ma anche tutti i dispositivi in rete a cui è stato possibile accedere dal PC compromesso.
Accesso RDP: ma è davvero indispensabile?
Anche se si seguono tutte le linee guida di sicurezza, ci sono sempre possibili punti deboli in RDP che possono essere sfruttati. Nessuno desidera introdurre queste debolezze nella rete se effettivamente non ce n’è davvero bisogno. Le possibili conseguenze potrebbero essere devastanti, soprattutto senza una strategia di backup efficace.
Proteggere i tuoi dati aziendali richiede attenzione e precisione, occorre affidarsi ad aziende in grado di garantire ottime difese. Nexsys ti supporta nella definizione delle copie dei tuoi dati e nella gestione dei salvataggi per evitare perdite e danni, attraverso il servizio di backup aziendale.
Nexsys propone, inoltre, corsi con lo scopo di educare gli utenti ad un uso consapevole e responsabile dei mezzi informatici ed insegna agli amministratori di sistema le migliori strategie affinché possano mitigare ogni possibile attacco.