Efterhånden som flere organisationer bevæger sig i retning af fjernarbejde, distribuerede teams og cloudforbundne miljøer, er løsninger til fjernadgang blevet uundværlige værktøjer for at gøre arbejdsstyrken mere fleksibel.
Men selvom fremkomsten af fjernadgang er et fremragende teknologisk fremskridt, har det skabt flere adgangspunkter og flere muligheder for angribere.
I dag er angreb med fjernadgang og udnyttelse af Remote Desktop Protocol (RDP) stadig blandt de mest almindelige indledende adgangsmetoder, der bruges af ransomware-grupper og cyberkriminelle.
En positiv tendens? Vi har nu mere detaljeret rapportering end nogensinde. sikkerhedsleverandører, IR-teams og nyhedsmedier offentliggør ofte hændelsesanalyser, der viser præcist, hvordan angribere får adgang, hvilke værktøjer til fjernadgang de bruger, og hvordan de eskalerer privilegier.
For organisationer, der er opmærksomme, giver dette niveau af gennemsigtighed to store fordele:
- Se præcis, hvordan sårbarheder i fjernadgang bliver udnyttet.
- Se, hvad der skal ændres i dit miljø for at reducere risikoen.
I denne guide gennemgår vi de mest almindelige sårbarheder ved fjernadgang, hvordan angribere udnytter dem, og de specifikke skridt, du kan tage for at sikre dit miljø og forhindre RDP-baserede ransomware-angreb.
Almindelige sårbarheder i fjernadgang
Sårbarheder i fjernadgang er rygraden i mange vellykkede cyberangreb. De giver angribere en åben dør til at infiltrere dit netværk, stjæle data eller installere ondsindet software.
Efterhånden som det globale fjernarbejde udvides, vokser risikoen for fjernadgang. Ifølge World Economic Forum vil antallet af globale digitale jobs stige med 25 % inden 2030, hvilket vil give millioner af nye eksterne slutpunkter, som kan blive potentielle indgangspunkter for angribere.
Dette understreger vigtigheden af at forstå disse sårbarheder for at styrke din sikkerhed og forhindre potentielle brud.
Nedenfor gennemgår vi de mest almindelige sårbarheder for fjernadgang, som organisationer står over for i dag:
Mangel på information og synlighed
Mange organisationer mangler omfattende synlighed og forståelse af systemer til fjernadgang, såsom VPN-konfigurationer, RDP-indstillinger og tredjepartsadgangskontrol.
Uden en klar oversigt over fjernadgangsværktøjer og slutpunkter er det let at opstå fejlkonfigurationer. Disse huller i viden kan føre til:
- Dårligt konfigurerede VPN’er og firewalls
- Utilsigtet eksponering af følsomme data
- Uautoriserede brugere får adgang via dårligt sikrede enheder
Desuden kan fjernarbejdere ubevidst oprette forbindelse til usikret offentlig Wi-Fi, hvilket øger risikoen for man-in-the-middle-angreb.
Deling af adgangskoder og svage legitimationsoplysninger
Deling af adgangskoder er en almindelig, men farlig praksis. Når medarbejdere deler legitimationsoplysninger, især til systemer med fjernadgang, bliver det svært at spore ansvarlighed.
Genbrugte eller svage adgangskoder gør systemer sårbare over for brute-force-angreb eller credential stuffing. Desuden kan manglende ændring af delte adgangskoder, når en medarbejder forlader virksomheden, gøre systemerne åbne for udnyttelse længe efter, at medarbejderen er væk.
Usikker eller forældet software
Ransomware og andre typer malware udnytter ikke-patchet software. Mange organisationer bruger fortsat forældet RDP-software, VPN-klienter eller andre systemer til fjernadgang, som er kendte mål for cyberkriminelle. Sårbarheder i disse systemer:
- Muliggør levering af malware gennem ikke-patchede sårbarheder
- Muliggør fjernudførelse af kode fra angribere
- Giver bagdørsadgang til følsomme data og systemer
Mange softwareleverandører udsender regelmæssigt patches for at rette disse sårbarheder, men hvis man ikke anvender opdateringer, er systemerne udsatte. Tredjepartssoftware, plugins eller udvidelser, der er forældede eller usikre, kan også give utilsigtede adgangspunkter.
Brug af personlige enheder til fjernarbejde
Personlige enheder, som ikke administreres af organisationens IT-afdeling, udgør en betydelig risiko, når de bruges til arbejde. Medarbejdere kan oprette forbindelse fra:
- Usikrede personlige enheder, som mangler sikkerhedskontrol på virksomhedsniveau
- Enheder, der ikke overholder virksomhedens sikkerhedspolitikker, f.eks. endpoint-kryptering
- Skygge-IT, hvor uautoriserede apps eller tjenester bruges til arbejde
Disse enheder kan også mangle regelmæssige sikkerhedsopdateringer, hvilket gør organisationer sårbare over for malware og ransomware-angreb. Personlige enheder har typisk ikke det samme niveau af kontrol, overvågning eller autentificering som virksomhedsadministrerede enheder, hvilket gør dem sårbare over for uautoriseret adgang.
Utilstrækkelig patchhåndtering
Mange organisationer står over for udfordringer med at patche og opdatere systemer, især når de har at gøre med ældre infrastruktur eller begrænsede IT-ressourcer. Upatchede systemer er nemme mål for cyberkriminelle, som aktivt scanner netværk for sårbarheder. Når patches er forsinkede eller udebliver:
- Angribere kan udnytte kendte sårbarheder i software til fjernadgang
- Automatiserede angrebsværktøjer kan scanne efter upatchede enheder og kompromittere dem
- Ondsindet kode kan sprede sig på tværs af netværket ved at bruge disse sårbarheder som indgangspunkter
Når det gælder RDP, bruger angribere ofte brute-force-angreb på svage eller upatchede tjenester for at få adgang.
Sårbare sikkerhedskopier
Sikkerhedskopier er afgørende for genoprettelse i tilfælde af et cyberangreb, men usikre sikkerhedskopier kan også være et mål. Angribere leder ofte efter udsatte cloud-backups eller ukrypterede data og bruger dem som sekundære angrebspunkter. Uden stærk adgangskontrol og kryptering kan disse backups blive en nem indgang til datatyveri eller ransomware.
Dårlig enhedshygiejne
Forsømmelse af regelmæssige opdateringer af enheder og sikkerhedstjek kan øge risikoen for malware- og ransomware-infektioner. Over tid akkumulerer enheder sårbarheder, som:
- Øger angrebsfladen for cyberkriminelle
- Tillader uautoriseret adgang, hvis tilladelser eller sikkerhedscertifikater er forældede
- Gør det muligt for angribere at inficere enheder, som senere kan bruges som affyringsramper for større netværksinfiltrationer
Regelmæssig enhedshygiejne og opdatering af sikkerhedssoftware er afgørende for at reducere risikoen for brud på sikkerheden.
Phishing-angreb
Phishing er stadig en af de mest udbredte metoder til at få uautoriseret adgang. Cyberkriminelle sender:
- Bedrageriske e-mails, der ser legitime ud: Angribere sender ofte e-mails, der efterligner pålidelige virksomheder, leverandører eller interne afdelinger. Disse beskeder kan indeholde falske fakturaer, links til nulstilling af adgangskode eller hasteanmodninger, der er designet til at narre brugerne til at klikke på ondsindede links eller dele følsomme oplysninger.
- Smishing (SMS-phishing) eller vishing (voice phishing): Cyberkriminelle bruger også sms’er og telefonopkald til at virke troværdige. Smishing-beskeder kan indeholde links til falske hjemmesider eller opfordringer til at “bekræfte” din konto. Vishing indebærer, at opkaldere udgiver sig for at være banker, IT-support eller offentlige myndigheder for at presse ofrene til at afsløre login-oplysninger, finansielle oplysninger eller sikkerhedskoder.
- Falske login-portaler: Angribere opretter falske login-sider til tjenester som e-mail eller cloud-konti. Disse sider efterligner ægte branding og URL’er og narrer brugerne til at indtaste deres brugernavne og adgangskoder, som derefter bliver stjålet.
Angribere bruger nu avancerede taktikker, herunder maskinlæring, til at lave personlige phishing-meddelelser og domænespoofing for at gøre deres angreb mere troværdige. Når legitimationsoplysningerne er stjålet, kan de nemt bruges til at få adgang til fjernadgangssystemer som RDP, VPN’er eller cloudtjenester.
Sådan udnytter angribere sårbarheder i fjernadgang til at få adgang
Det har længe været kendt, at en betydelig procentdel af ransomware-angreb, uanset variant, begynder med enten phishing eller Remote Desktop-baserede indbrud.
Phishing, som vi nævnte i forrige afsnit, er et oplagt indgangspunkt: Når det lykkes, giver det angriberne en endpoint-session og gyldige brugeroplysninger. Men fjernskrivebordsangreb (inklusive dem, der udføres via kommercielle fjernadgangsværktøjer) giver det samme resultat.
Uanset om angriberne bruger brute-force-forsøg – tester tusindvis af adgangskoder – eller stjålne legitimationsoplysninger, der er købt eller høstet fra tidligere brud, er RDP-baserede angreb stadig lige effektive og står derfor side om side med phishing som en af de største indledende angrebsvektorer.
Virkelige eksempler på RDP-udnyttelse
Et veldokumenteret eksempel er MedusaLocker, en ransomware-variant, der først blev identificeret i 2019, og som for nylig er genopstået i en sådan grad, at det har ført til en fælles cybersikkerhedsadvarsel fra offentlige myndigheder. MedusaLocker-operatører går primært efter eksponerede RDP-forbindelser – nogle gange offentliggjort med vilje for nemheds skyld, andre gange efterladt åbne ved et uheld. Når de har fået adgang, installerer de ransomware, krypterer kritiske data og kræver betaling.
En anden sag med stor effekt, dokumenteret af forskere hos Sophos, afslørede, hvordan en gruppe, der udnyttede LockBit-ransomware, infiltrerede et amerikansk regeringsnetværk via RDP. Chokerende nok bevægede angriberne sig lateralt rundt i netværket i fem måneder uden at blive opdaget, før de startede udrulningen af ransomware.
Hvordan angribere eskalerer og bevæger sig lateralt ved hjælp af fjernadgang
Nu hvor du forstår, hvordan angribere udnytter sårbarheder i fjernadgang til at få adgang, så lad os se på, hvordan de eskalerer og bevæger sig lateralt ved hjælp af fjernadgang:
Når angriberne har fået lokal adgang, er den næste logiske fase ifølge MITRE ATT&CK Framework lateral bevægelse. Mekanismer for fjernadgang (især intern RDP) misbruges ofte i denne fase.
Nylige data fra ransomware-responsfirmaet Coveware viser, at lateral bevægelse forekommer i ca. 70 % af ransomware-angrebene. Deres analytikere bemærker, at denne fase “hovedsageligt består af misbrug af internt fjernskrivebord (RDP), efter at der er opnået indledende adgang.”
Ved at bevæge sig sideværts kan angribere eskalere tilladelser, få adgang til flere endpoints, finde følsomme data og placere ransomware, så den får maksimal effekt.
Effektive strategier til at forhindre misbrug af fjernadgang i ransomware-angreb
Da trusselsaktører konsekvent misbruger fjernadgang til ondsindede formål, må it- og sikkerhedsledere tage afgørende skridt for at reducere risikoen. Nedenfor er de mest effektive tiltag, organisationer kan tage for at forhindre misbrug:
Deaktiver eksternt vendt fjernadgang
Angribere forsøger ofte at bryde legitimationsoplysninger på computere og servere, der er eksponeret for det offentlige internet. Selv Microsofts seneste Windows 11-opdatering, som automatisk blokerer RDP-brute-force-forsøg, kan ikke afbøde truslen fuldt ud, især ikke når angriberne har et sæt stjålne legitimationsoplysninger i hånden.
Med 59 % af organisationerne, der oplever phishing-baserede kampagner med fokus på at stjæle legitimationsoplysninger, sammen med tilstedeværelsen af Dark Web-tjenester, der er dedikeret til at sælge legitimationsoplysninger, burde det være tydeligt, at mange angribere ikke længere er afhængige af brute force for at få adgang.
Når det er muligt, skal du fjerne eksternt tilgængelige RDP- og andre fjernadgangsruter på desktop-niveau.
Overvej at stoppe RDP helt og aldeles
For både eksternt og internt baseret fjernskrivebordsadgang har Microsoft taget skridt til at sikre, at RDP-tjenesterne er så sikre som muligt. Men der er stadig et dobbelt problem:
- For det første er det ikke alle organisationer, der sikrer deres RDP på tværs af alle slutpunkter.
- For det andet, selv hvis det er sikkert, leder ransomware-bander nu efter zero-day exploits (og er villige til at betale syvcifrede beløb for dem), og udbredelsen af RDP i næsten alle Microsoft-miljøer gør det til et førsteklasses mål for hackere, der ønsker at finde måder at drage fordel af “commodity”-applikationer, der er bredt tilgængelige.
Hvis du skifter til sikre, moderne løsninger til fjernadgang med detaljeret adgangskontrol, kan du reducere din risiko betydeligt.
Aktivér sikker godkendelse
Multifaktorautentificering (MFA) er fortsat et af de mest effektive forsvar mod misbrug af fjernadgang. Ved at kræve en anden faktor, såsom smartcards, certifikater, autentificeringsapps eller hardwarenøgler, bliver stjålne adgangskoder effektivt ubrugelige og forhindrer uautoriseret adgang, selv når legitimationsoplysningerne er kompromitteret.
Opdater og patch software regelmæssigt
Regelmæssig opdatering og patchning af alle værktøjer og software til fjernadgang er afgørende for at holde angriberne på afstand. Upatchede systemer er et hovedmål for cyberkriminelle, så det er vigtigt at holde sig ajour med opdateringer for at beskytte dit netværk.
Uddan og træn medarbejdere
Invester i cybersikkerhedstræning for at øge bevidstheden om de risici, der er forbundet med fjernadgang. Hvis du uddanner din arbejdsstyrke i farerne ved phishing og håndtering af adgangskoder, vil det hjælpe med at reducere sandsynligheden for tyveri af legitimationsoplysninger og uautoriseret adgang.
Det vil du måske også synes om: VNC vs SSH: Vælg den rigtige fjernadgangsprotokol til sikker systemadministration.
Styrk sikkerheden ved fjernadgang med RealVNC, før det er for sent
Cybersikkerhedsstrategier skal løbende udvikles for at afspejle det aktuelle trusselsbillede. Rammer som MITRE ATT&CK findes netop af denne grund – for at hjælpe organisationer med at holde sig på linje med, hvordan angribere opererer i virkelige miljøer.
Fjernadgang vil forblive et topmål for ransomware-grupper, indtil organisationer prioriterer konfiguration med fokus på sikkerhed frem for bekvemmelighed med fokus på produktivitet.
Ved at studere nutidens angrebsmønstre og implementere ovenstående anbefalinger kan organisationer styrke sikkerheden i deres miljø for fjernadgang betydeligt og reducere deres interne og eksterne angrebsflade.
Kort sagt: Sikring af fjernadgang er ikke valgfrit, det er grundlæggende for at undgå sikkerhedsrisici.
Nu er det tid til at vurdere dine løsninger til fjernadgang og sikre, at de er robuste nok til at modstå nutidens trusler.
Læs mere om, hvordan RealVNC’s løsninger til sikker fjernadgang kan hjælpe med at beskytte dit netværk mod ransomware-angreb og blokere for uautoriserede adgangsforsøg .
Ofte stillede spørgsmål
Nedenfor er der svar på nogle af de oftest stillede spørgsmål om fjernadgangsangreb.
Hvad er et fjernadgangsangreb?
Et fjernadgangsangreb opstår, når cyberkriminelle får uautoriseret adgang til et system eller netværk via fjernadgangsmetoder som RDP, VPN’er, SSH eller cloudbaserede fjernværktøjer. Disse angreb involverer ofte tyveri af legitimationsoplysninger, phishing eller udnyttelse af ikke-patchede sårbarheder. I mange tilfælde automatiserer angriberne disse forsøg på at ramme et stort antal udsatte systemer.
Hvilke sårbarheder er forbundet med fjernadgang?
Almindelige sårbarheder omfatter fejlkonfigureret RDP, svage eller genbrugte adgangskoder, udsatte slutpunkter, forældet eller upatchet software, usikre personlige enheder og utilstrækkelige godkendelseskontroller. Disse svagheder giver angribere let adgang til at kompromittere netværk.
Hvad er de tre hovedtyper af fjernadgang?
De primære former for fjernadgang omfatter:
- Remote Desktop Protocol (RDP): RDP er meget udbredt, men ofte et mål på grund af åbne porte og svage legitimationsoplysninger.
- Virtuelle private netværk (VPN’er): VPN’er krypterer trafik, men kan være et enkelt fejlpunkt, hvis de kompromitteres.
- Cloud-baserede løsninger til fjernadgang: Disse værktøjer er stærkt afhængige af kontosikkerhed og korrekt MFA-konfiguration.
