Door het coronavirus moesten mensen wereldwijd noodgedwongen veel meer online gaan uitvoeren, bijvoorbeeld bij het werken vanuit huis. Het afgelopen jaar zijn hierdoor nieuwe dreigingen ontstaan en bestaande dreigingen versterkt. Zo ontdekte Kaspersky een groei van 242% in het aantal brute force aanvallen op externe desktopprotocollen (RDP) in vergelijking met vorig jaar. En verschenen er 1,7 miljoen unieke kwaadaardige bestanden, vermomd als apps voor bedrijfscommunicatie. Deze en andere bevindingen staan in Kasperksy’s 'Story of the year: remote work' report.
Het plotseling vanuit huis moeten werken, leidde tot nieuwe kwetsbaarheden waar cybercriminelen zich snel op hebben gericht. Het volume van het bedrijfsverkeer nam toe en gebruikers gingen snel over op het gebruik van diensten van derden om gegevens uit te wisselen en te werken via potentieel onveilige Wi-Fi-netwerken.
RDP-aanvallen toegenomen
Een van de meest populaire protocollen op applicatieniveau voor toegang tot Windows werkstations of servers, is het eigen protocol van Microsoft: RDP. Computers die verkeerd zijn geconfigureerd nadat ze beschikbaar zijn gesteld aan externe werkers, zijn tijdens de eerste golf over de hele wereld toegenomen. Datzelfde geldt voor het aantal cyberaanvallen op deze computers. Deze aanvallen waren meestal een poging om via brute force een gebruikersnaam en wachtwoord voor RPD te bemachtigen. Hierbij wordt systematisch geprobeerd de juiste combinatie te vinden. Bij een succesvolle poging kregen cybercriminelen op afstand toegang tot de doelcomputer in het netwerk.
Hack gemeente Hof van Twente
Vorige week werd bekend gemaakt dat de gemeente Hof van Twente waarschijnlijk is getroffen door gijzelsoftware. De nog onbekende hackers konden hierdoor bij soms zeer privacygevoelige informatie van inwoners. Het lijkt erop dat hier ook sprake is van een RDP-aanval.
“De aanvallers zouden gebruik hebben gemaakt van het ‘remote desktop protocol’ van de gemeente. Dat is software waarmee systeembeheerders op afstand toegang kunnen krijgen tot computers binnen het bedrijfsnetwerk. Als zulke software slecht beveiligd is, kunnen ook hackers via deze weg toegang krijgen. Dat komt regelmatig voor, zegt David Jacoby, onderzoeker bij beveiliger Kaspersky hierover. "Soms zien we ook dat de inlogcodes voor zulke systemen op het internet verhandeld worden.”
Sinds begin maart is het aantal Bruteforce.Generic.RDP-detecties omhooggeschoten. Het totale aantal detecties in de eerste elf maanden van 2020 is met 3,4 keer gestegen, ten opzichte van hetzelfde type aanvallen in 2019. In totaal werden tussen januari en november 2020 3,3 miljard aanvallen op Remote Desktop Protocols gedetecteerd. In 2019 heeft Kaspersky in dezelfde periode wereldwijd 969 miljoen van deze aanvallen gedetecteerd.
Bedrijfscommunicatie misbruikt
Afgezien van de RDP-aanvallen, maakte cybercriminelen ook misbruik van het feit dat ook de offline bedrijfscommunicatie verplaatste naar online. Kaspersky ontdekte 1,66 miljoen unieke schadelijke bestanden die werden verspreid onder het mom van populaire messenger- en online conferentietoepassingen. Eenmaal geïnstalleerd, zouden deze bestanden voornamelijk Adware laden - programma's die de apparaten van slachtoffers overspoelen met ongewenste reclame en hun persoonlijke gegevens verzamelen voor gebruik door derden. Een andere groep bestanden die vermomd waren als bedrijfsapps waren Downloaders - toepassingen die misschien niet kwaadaardig zijn, maar wel andere apps kunnen downloaden. Van Trojaanse paarden tot tools voor toegang op afstand.
