Gli attacchi di forza bruta al Remote Desktop schizzati alle stelle dall’inizio del COVID19

Secondo una recente ricerca dell’azienda Kaspersky Lab, gli attacchi di forza bruta al protocollo Remote Desktop in Italia durante la quarantena sono aumentati in modo preoccupante, passando da circa 3.600.000 a febbraio a oltre 15.000.000 a marzo.

Il fenomeno è stato osservato su scala mondiale ed ha interessato tutti i paesi in quarantena, secondo Kaspersky si è passati da quasi 30.000.000 attacchi RDP nel mese di febbraio e circa 100.000.000 a marzo.

Che cosa sono gli attacchi di forza bruta

Gli attacchi di forza bruta (o brute force attack) consentono ad un attaccante di individuare la password di accesso ad un sistema o servizio provando in maniera esaustiva tutte le possibili combinazioni di caratteri consentite.

Nella fattispecie, gli attaccanti mirano ad individuare le credenziali di accesso per connessioni RDP a sistemi che sono esposti online. Val la pena ricordare che una volta trovate le credenziali di accesso, un attaccante può utilizzarle per avere accesso completo in remoto al sistema.

Per meglio compredere le ragioni di questo aumento così marcato basti pensare che all’inizio di Aprile, i ricercatori del popolare motore di ricerca Shodan hanno  osservato un aumento del 41% del numero di endpoint RDP esposti online dall’inizio della pandemia di COVID-19.

Gli esperti di Shodan sottolineano che circa l’8% dei sistemi esposti è tutt’ora vulnerabile ad attacchi che sfruttano una falla nota come BlueKeep (CVE-2019-0708).

Secondo Kaspersky, gli attacchi di forza bruta RDP sono saliti alle stelle a marzo a causa del ricorso al lavoro a distanza imposto durante la pandemia di COVID-19 che ha costretto le organizzazioni a rendere più sistemi online accessibili tramite connessioni RDP.

“Uno dei protocolli a livello di applicazione più popolari per l’accesso a workstation o server Windows è il protocollo proprietario di Microsoft –  RDP . Il lockdown imposto dal governo ha visto la comparsa di moltissimi computer e server in grado di accettare connessioni da remoto, e in questo momento stiamo assistendo a un aumento delle attività criminali informatiche che tentano di sfruttare la situazione per attaccare le risorse aziendali che sono state rese disponibili (a volte in maniera frettolosa) ai lavoratori in smart working”. recita il post pubblicato da Kaspersky.

“Dall’inizio di marzo, il numero di attacchi di forza bruta al protocollo Remote Desktop è schizzato alle stelle in quasi tutto il mondo”

Kaspersky raccomanda alle organizzazioni di adottare le seguenti misure di sicurezza:

• Utilizzare password complesse.
• Rendere disponibile accessi in Remote Desktop solo tramite una VPN aziendale.
• Usare  autenticazione a livello di rete(NLA).
• Se possibile, abilitare l’autenticazione a due fattori.
• Se non si utilizza RDP, disabilitarlo e chiudere la porta 3389.
• Utilizzare una soluzione di sicurezza affidabile.

Secondo gli esperti di Kaspersky Lab, anche vulnerabilità in altri strumenti per la connessione remota a sistemi, come l’applicazione VNC, potrebbero esporre le organizzazioni al rischio di incidenti.

Proprio in novembre, gli esperti di Kaspersky hanno segnalato dozzine di falle presenti  nelle applicazioni client di VNC per sistemi Linux e Windows.

All’epoca, interrogando  shodan.io, Kaspersky ha trovato oltre 600.000 server VNC esposti in rete e potenzialmente a rischio.