Hiện tại, nhiều nhóm ransomware đang khai thác Remote Desktop Protocol (RDP - Giao thức máy tính từ xa) để tấn công doanh nghiệp. Mặc dù số lượng các vụ tấn công đã giảm đáng kể so với các năm trước, nhưng người dùng cũng cần lưu ý về tình hình an ninh mạng trong khu vực.
RDP được sử dụng để quản trị viên hoặc người dùng thông thường điều khiển máy chủ, máy tính… từ xa.
Tội phạm mạng sẽ sử dụng hình thức tấn công Bruteforce để cố gắng tìm thông tin đăng nhập bằng cách dò mật khẩu liên tục.
Dữ liệu của Kaspersky cho thấy các giải pháp B2B của công ty đã chặn gần 76 triệu vụ tấn công Bruteforce.Generic.RDP nhắm vào các công ty ở Đông Nam Á trong năm 2022. Tổng số vụ tấn công tại khu vực trong thời gian này đã giảm 49% so với 149 triệu vụ vào năm 2021. Theo ghi nhận, các công ty ở Việt Nam, Indonesia và Thái Lan là mục tiêu bị tấn công nhiều nhất.
Việt Nam, Thái Lan và Indonesia là 3 quốc gia có số lượng các vụ tấn công nhiều nhất. Ảnh: Kaspersky |
Ông Yeo Siang Tiong, Tổng Giám đốc Kaspersky khu vực Đông Nam Á giải thích: “Từ gần 150 triệu cuộc tấn công Bruteforce nhắm vào các công ty trong khu vực vào năm 2021, con số này đã giảm đi một nửa vào năm 2022.
Thoạt nhìn, đó là dấu hiệu tốt do việc chuyển sang môi trường làm việc trực tiếp thuần túy hoặc làm việc từ xa kết hợp, nghĩa là ít nhân viên trong khu vực làm việc từ xa hơn so với đỉnh điểm của đại dịch vào năm 2022 và 2021. Tuy nhiên, nhìn vào bối cảnh mối đe dọa rộng hơn, các chuyên gia của chúng tôi nhận thấy ngày càng có nhiều nhóm ransomware khai thác RDP để có quyền truy cập vào doanh nghiệp. Đây là điều mà đội ngũ an ninh nên hết sức chú ý”.
Tất cả 8 nhóm ransomware được đề cập trong báo cáo hầu hết đều hoạt động dưới dạng Ransomware as a Service (RaaS - phần mềm tống tiền dưới dạng dịch vụ) bao gồm Conti, Pysa, Clop (TA505), Hive, RagnarLocker, Lockbit, BlackByte và BlackCat.
Các nhóm này sử dụng tài khoản hợp lệ, thông tin đăng nhập bị đánh cắp hoặc Bruteforce để truy cập vào mạng của nạn nhân. Báo cáo cũng lưu ý tất cả các nhóm ransomware đã sử dụng RDP mở để có quyền truy cập ban đầu vào hệ thống vì đây là cách dễ dàng nhất.
Phương pháp tốt nhất để bảo vệ hệ thống trước các cuộc tấn công liên quan đến RDP là ‘giấu’ nó đằng sau VPN và cấu hình đúng cách. Bên cạnh đó, việc sử dụng mật khẩu mạnh cũng rất quan trọng để bảo vệ người dùng khỏi các mối đe dọa RDP.
Để giảm thiểu rủi ro và tác động của cuộc tấn công ransomware do RDP Bruteforce gây ra, các chuyên gia đề xuất triển khai giải pháp phòng thủ toàn diện Kaspersky Extended Detection and Response (XDR) nhằm chống lại các cuộc tấn công mạng có mục tiêu.