Toename van RDP-aanvallen die ransomware installeren

[Captain Kirk]

Er is een toename van aanvallen waarbij aanvallers via het remote desktop protocol (rdp) van Windows op systemen proberen in te loggen en vervolgens ransomware installeren. In de eerste weken van dit jaar is het aantal aanvallen ten opzichte van een zelfde periode in het laatste kwartaal verdubbeld.

Dat meldt het Japanse anti-virusbedrijf Trend Micro. De aanvallers richten zich met name op de gezondheidssector in de Verenigde Staten. Om toegang tot het rdp-account te krijgen worden er verschillende veelvoorkomende gebruikersnamen en wachtwoorden gebruikt. In het geval de inlogpoging succesvol is wordt de Crysis-ransomware geïnstalleerd. Hiervoor wordt een gedeelde map op de aangevallen computer gebruikt. In sommige gevallen wordt de ransomware ook via het klembord gekopieerd.

Naast het vermijden van standaardwachtwoorden krijgen beheerders ook het advies om het delen van schijven, mappen en het klembord uit te schakelen, aangezien dit de mogelijkheid beperkt om via rdp bestanden te kopieren. Dit kan echter wel ten koste van de bruikbaarheid gaan, aldus analist Jay Yaneza. De aanvallen werden vorig jaar september voor het eerst opgemerkt en waren toen vooral tegen bedrijven in Australië en Nieuw-Zeeland gericht. Inmiddels vinden de aanvallen wereldwijd plaats.

 

 

bron: security.nl