Wykorzystanie zewnętrznych usług zdalnych to najczęściej stosowana przez hakerów metoda do uzyskania dostępu do zasobów firm. W aż 90 proc. zakończonych powodzeniem ataków cyberprzestępcy skorzystali z protokołu pulpitu zdalnego, wynika z raportu firmy Sophos. Zdaniem specjalistów ds. ochrony danych zarządzanie usługami realizowanymi „na odległość” powinno być priorytetem przy zapewnianiu cyberbezpieczeństwa dla przedsiębiorstw.
W raporcie opracowanym przez zespół Sophos X-Ops przeanalizowano 150 reakcji na przypadki naruszenia bezpieczeństwa w firmach z 26 różnych branż z 23 krajów, w tym z Polski. Podobnie jak w poprzednich raportach „Active Adversary z lat 2021 – 2023”, jedną z głównych (65 proc. wszystkich zdarzeń) metod uzyskania początkowego dostępu były zewnętrzne usługi zdalne, takie jak VPN (Virtual Private Network) lub protokół pulpitu zdalnego RDP (Remote Desktop Protocol).
Jednym z opisywanych przez Sophos przykładów był przypadek firmy, do której hakerzy włamali się cztery razy w ciągu zaledwie sześciu miesięcy. Każdy z ataków wyglądał tak samo: cyberprzestępcy uzyskiwali dostęp do firmowych danych przez niezabezpieczone porty usługi pulpitu zdalnego. Będąc już w firmowych systemach, atakujący byli w stanie zainfekować je szkodliwym oprogramowaniem i wyłączać ochronę punktów końcowych, by zdalny dostęp do plików wciąż był możliwy.
– Zewnętrzne usługi zdalne są niezbędnym, ale jednocześnie ryzykownym wymogiem dla wielu firm. Hakerzy za wszelką cenę starają się złamać ich zabezpieczenia, gdyż umożliwia im to dostęp do pożądanych informacji. Atakujący doskonale wiedzą, czego szukają. Włamanie się przez RDP, zwłaszcza taki, który nie jest odpowiednio zabezpieczony, i znalezienie serwera Active Directory, usługi katalogowej systemu Windows, nie zajmie im dużo czasu – ostrzega cytowany w komunikacie John Shier, dyrektor ds. technologii w firmie Sophos.
Na szczycie listy najczęstszych sposobów, w jakie cyberprzestępcy uzyskują początkowy dostęp do strzeżonych danych firm, pozostaje kradzież danych uwierzytelniających (77 proc.). W ponad połowie przypadków (56 proc.) były one główną przyczyną ataku. W większości analizowanych incydentów nie udało się ustalić, w jaki sposób hakerzy przejęli dane dostępowe. Według wyliczeń zespołu Sophos X-Ops aż 43 proc. firm nie stosowało podstawowego narzędzia ochrony dostępu, jakim jest uwierzytelnianie wieloskładnikowe. Drugą najczęstszą metodą ataków było wykorzystywanie luk w zabezpieczeniach (16 proc.).
