Når vi taler om cyberangreb, er der tre grundlæggende måder, hvorpå angribere får adgang til et offers netværk:
Phishing: De bruger e-mails til at narre sig ind i et netværk, hvilket potentielt kan give angriberne fodfæste, hvis angrebet lykkes med at inficere et endpoint.
Sårbarheder: Ved at bruge zero-day eller kendte sårbarheder (som ikke er blevet lappet) kan angribere få forhøjede privilegier på systemer og applikationer og udnytte dem til at få adgang til resten af et netværk.
RDP/Fjernadgang: Angribere bruger enten kompromitterede legitimationsoplysninger eller brute force-angreb på adgangskoder og bruger dem som kanal til at få adgang til et netværk.
Virksomheder fokuserer normalt på de to første angrebsvektorer ovenfor. Når de diskuterer den tredje, fokuserer de normalt på RDP i sig selv snarere end på, hvor usikker autentificeringen er, når en angriber hopper ind i en fjernlogon-session.
Så i denne artikel vil vi undersøge, hvad der sker, når en angriber finder og bruger en fjernadgangssession (RDP eller andet, heri generisk omtalt som fjernadgang).
Vi ser på de brute force-angrebsmetoder, der bruges til at kompromittere legitimationsoplysninger, hvor udbredt det er, hvorfor brugerne faktisk gør det nemt for angriberen, og hvad du kan gøre ved det.
Hvad er et brute force-angreb?
Et brute force-angreb er en type cyberangreb, hvor en angriber bruger trial and error til at gætte eller knække en brugers adgangskode, loginoplysninger eller krypteringsnøgler. Denne angrebsmetode indebærer, at man systematisk prøver alle mulige kombinationer af tegn, tal og specialtegn for at få uautoriseret adgang til en brugers konto, system eller netværk.
Brute force-angreb kan udføres manuelt eller ved hjælp af automatiserede softwareværktøjer, hvilket gør dem populære blandt hackere.
Typer af brute force-angreb
Der er flere typer af brute force-angreb, bl.a.
Simpelt brute force-angreb: Indebærer, at man prøver alle mulige kombinationer af bogstaver, tal og specialtegn for at gætte en brugers adgangskode.
Omvendt brute force-angreb: Angriberen starter med en kendt adgangskode og forsøger at finde et matchende brugernavn.
Ordbogsangreb: Angribere prøver en liste med ord, sætninger og almindelige adgangskoder for at gætte en brugers adgangskode.
Hybrid brute force-angreb: Denne type angreb kombinerer et ordbogsangreb med et traditionelt brute force-angreb.
Credential Stuffing: Bruger en liste med stjålne brugernavne og adgangskoder til at få uautoriseret adgang til flere konti.
Motiverne bag brute force-angreb
At forstå motiverne bag brute force-angreb er afgørende for at kunne evaluere risici og implementere effektive sikkerhedsforanstaltninger. Cyberkriminelle handler sjældent uden formål. Deres mål omfatter ofte økonomisk gevinst, spionage eller forstyrrelse af driften. Industrier, der håndterer følsomme data, som f.eks. sundhedssektoren eller finanssektoren, har f.eks. større risiko for spionage, mens mindre virksomheder kan være mål for ransomware eller tyveri af legitimationsoplysninger på grund af begrænsede IT-budgetter.
Her er et nærmere kig på, hvorfor angribere anvender brute force-taktikker:
Tyveri af loginoplysninger for profit
En af de mest almindelige årsager til brute force-angreb er at stjæle brugeroplysninger, f.eks. brugernavne og adgangskoder. Når de er blevet stjålet, kan de sælges på dark web-markedspladser, ofte som en del af store datadumps, eller bruges til at få uautoriseret adgang til værdifulde systemer. For eksempel kan en angriber sælge loginoplysninger til en organisations interne systemer, så andre kan iværksætte målrettede angreb som ransomware eller datatyveri.
Implementering af ransomware
Brute force-angreb bruges ofte som indgangsvinkel til at udbrede ransomware. Ved at få adgang til systemer via kompromitterede legitimationsoplysninger kan angribere kryptere kritiske data og kræve løsepenge for at frigive dem. Dette motiv er blevet forstærket af stigningen i fjernarbejde, som ofte er afhængig af RDP-protokoller (Remote Desktop) eller andre fjernadgangsløsninger, der er sårbare over for brute force-angreb.
Spionage og dataudtræk
Brute force-angreb bruges af cyberkriminelle med motiver, der er knyttet til virksomheds- eller statssponsoreret spionage. De giver angriberne mulighed for at infiltrere netværk og udtrække følsomme data. Angriberne kan gå efter intellektuel ejendom, forretningshemmeligheder eller klassificerede oplysninger. De bruger svage autentificeringsmetoder til at få adgang til systemer af høj værdi.
Afbrydelse af systemet
Nogle gange er målet ikke at stjæle data eller penge, men at forstyrre en organisations drift. Brute force-angreb kan være en del af større kampagner for at overbelaste systemer, forårsage nedetid eller undergrave kundernes tillid. I disse tilfælde sigter angriberne mod at skade en organisations omdømme eller kapacitet i stedet for at opnå direkte økonomiske fordele.
Test og udnyttelse af svagheder i sikkerheden
Brute force-angreb fungerer ofte som rekognosceringsværktøjer. Angribere kan bruge dem til at undersøge en organisations forsvar og identificere svage punkter i autentificeringssystemer. Disse oplysninger kan derefter bruges til at lave mere sofistikerede og målrettede angreb.
Genbrug af legitimationsoplysninger på tværs af platforme
Mange mennesker genbruger adgangskoder på tværs af flere konti. Når de ved det, udnytter cyberkriminelle brute force-angreb til at få adgang til ikke bare én konto, men potentielt et helt netværk af sammenkoblede tjenester. Denne taktik, kendt som credential stuffing, er især problematisk, når en enkelt kompromitteret adgangskode kan føre til større brud.
Indledende adgangsmægling
I nogle tilfælde udføres brute force-angreb af initial access brokers, cyberkriminelle, der specialiserer sig i at bryde ind i netværk og sælge adgang til andre angribere. Disse mæglere bruger svage autentificeringssystemer til at få adgang og sælge legitimationsoplysninger til dem, der ønsker at udføre storstilede angreb som spionage eller ransomware.
En forståelse af disse mål kan hjælpe organisationer med at prioritere deres forsvar, såsom forbedret godkendelse, rutinemæssige sikkerhedsrevisioner og uddannelse af medarbejdere, for at afbøde sårbarheder effektivt.
Brute force-angreb online og offline
Brute force-angreb falder i to hovedkategorier: online og offline, som hver især udgør unikke udfordringer.
Online brute force-angreb
Disse angreb er rettet mod aktive systemer eller netværk. Angriberne gætter gentagne gange på adgangskoder ved hjælp af automatiserede værktøjer. De sker i realtid, hvilket gør, at de kan opdages ved at overvåge usædvanlige loginforsøg, f.eks. gentagne fejl fra en enkelt IP-adresse.
Afbødningsstrategier omfatter hastighedsbegrænsning for at bremse forsøg, CAPTCHA-udfordringer for at blokere bots og multifaktorautentificering (MFA) for at øge sikkerheden.
Offline Brute Force-angreb
Offline-angreb går ud på at knække stjålne password-hashes uden at interagere med live-systemer. Angriberne bruger kraftfulde værktøjer til at teste kombinationer, hvilket gør det svært at opdage dem.
Forsvarsforanstaltninger omfatter sikring af adgangskodeopbevaring med saltede hashes og brug af stærk kryptering. Regelmæssige systemopdateringer er også vigtige for at lappe sårbarheder.
Hvorfor er Brute Force-angreb et problem?
Hver gang du ser en historie eller en industristatistik om at RDP er involveret i et cyberangreb, skal du huske på, at angriberen på tidspunktet for angrebet enten havde eller ikke havde et fungerende brugernavn og en adgangskode til at logge på med.
I scenarier, hvor angriberen starter fra bunden – som med initial access brokers – er målet ikke bare at få adgang, men også at skaffe et fungerende sæt legitimationsoplysninger, som enten bliver brugt i det aktuelle angreb eller solgt på dark web til en anden angriber, der er på udkig efter indledende adgang.
Det betyder, at angribere nogle gange er nødt til at bruge brute force-angreb på adgangskoder for at finde frem til den adgangskode, der er knyttet til et givent brugernavn.
Brute force-angrebsværktøjer er designet til at automatisere processen med at gætte legitimationsoplysninger, hvilket gør det hurtigere og mere effektivt for angriberne.
Ifølge MITRE ATT&CK Framework (udtales “ATTACK”), som beskriver næsten alle ondsindede taktikker, teknikker og procedurer, der bruges af cyberkriminelle, er der fire typer af brute force-angrebsmetoder:
Gæt på adgangskoder: Systematisk gæt på adgangskoder ved hjælp af en gentagen eller iterativ mekanisme baseret på en liste over almindelige adgangskoder.
Password spraying: Når en angriber får fat i en liste med brugernavne og forsøger at logge ind med den samme adgangskode til dem alle.
Knækning af adgangskoder: Brug af regnbuetabeller eller gæt på adgangskoder og beregning af hashes for at knække password-hashes.
Credential Stuffing: Brug af legitimationsoplysninger fra dumps af ikke-relaterede konti til at få adgang til målkonti.
Beslutningen om at bruge en metode frem for en anden er i høj grad baseret på, om angriberen kender brugernavne og/eller adgangskoder på offerets netværk.
Men hvor udbredte er brute force-angreb på adgangskoder?
Ifølge det britiske cyberforsikringsselskab Hiscox, startede 17 % af de ransomware-angreb, de så som en del af cyberforsikringskrav, med et brute force-angreb. Det er næsten 1 ud af 5. Vi har også set brute force-angreb i massevis i 2022 med 47 millioner angreb i Sydøstasien rettet mod fjernarbejdere.
Så det er et meget reelt problem … af mange grunde.
1. Der er mange kilder til svage adgangskoder
Passwords, der bruges i gætte-, spraying- eller stuffing-angreb, kommer ofte fra forskellige kilder. En vigtig kilde er databrud, der afslører brugernavne og e-mailadresser. For eksempel kompromitterede LinkedIn-bruddet i maj 2016 164 millioner e-mailadresser og adgangskoder, hvilket gør det til en væsentlig bidragyder til sådanne angreb.
En anden kilde er pwned-databaser, der katalogiserer almindeligt anvendte adgangskoder, hvoraf mange er overraskende enkle (f.eks. “P@ssw0rd!”). Derudover udnytter angribere ofte målrettede gætmuligheder ved at fokusere på specifikke brugere, hvilket øger sandsynligheden for at finde svage eller forudsigelige passwords.
Ifølge Spyclouds 2023 Identity Exposure Report, involverer over 7 millioner af de kompromitterede adgangskoder, der er indsamlet under sikkerhedsbrud, et kærligheds- eller familietema (Hvis jeg f.eks. kender din ægtefælles navn, kan jeg begynde at gætte der). Disse angreb involverer ofte systematisk test af forskellige kodeordskombinationer for at udnytte svage eller almindeligt anvendte kodeord.
2. Brugeradfærd bidrager også til sikkerhedsrisici
Ifølge den samme Spycloud-rapport genbrugte 72% af brugerne i 2022-bruddene tidligere eksponerede adgangskoder, og 61% af brugerne i USA genbrugte adgangskoder.
Passwords genbruges i gennemsnit 13 gange. En del af årsagen er antallet af systemer, applikationer og platforme, som nutidens bruger har brug for at opretholde et logon-…I mindre virksomheder er der i gennemsnit 85 adgangskoder, mens der i større virksomheder kun er 25.
Brug af komplekse adgangskoder kan forbedre kontosikkerheden betydeligt og gøre det sværere for angribere at få held med at kompromittere legitimationsoplysninger.
Med den computerkraft, der i dag gør det muligt for angribere at teste så mange som 1 milliard passwords i sekundet i et brute force-angreb, er password security er afgørende.
3. Fjernadgang kan give angribere måder at få uautoriseret adgang på
Lad os tilføje fjernadgang til diskussionen, da brute force-angreb kun er midlerne til at få uautoriseret adgang; den virkelige sårbarhed ligger i, hvordan din hybride arbejdsstyrke engagerer sig i virksomhedens ressourcer.
Nogle organisationer er stadig (stadig!) afhængige af RDP (protokollen, der ikke vil dø den forfærdelige cybersikkerhedsdød, den fortjener!), afslørede en nylig rapport, at cyberkriminelle misbrugte RDP i 90 % af de analyserede hændelser, hvilket gør det til en kritisk vektor for ransomware-angreb. Selv hvis du ikke bruger RDP, kan andre fjernadgangsapplikationer også udgøre en betydelig risiko – 16 % af databruddene begyndte med kompromittering af RDP eller en anden fjernadgangsapplikation.
Det betyder, at enhver metode til fjernadgang er en angrebsvektor for cyberkriminelle. Da 50 % af organisationerne ikke vurderer sig selv som særligt effektive til at mindske risici ved fjernadgang, er det afgørende at implementere stærkere autentificeringsforanstaltninger end blot brug af adgangskoder for at sikre fjernadgang effektivt.
Bedste praksis for forebyggelse mod brute force-angreb
Forebyggelse af brute force-angreb kræver en tilgang i flere lag, der kombinerer stærke politikker, tekniske sikkerhedsforanstaltninger og uddannelse af brugerne. Selvom multifaktorautentificering (MFA) er grundlaget for forsvaret, kræver det en bredere strategi for at sikre en mere proaktiv sikkerhedsindsats. Se her, hvordan du kan være på forkant med brute force-angreb:
Etabler robuste politikker for adgangskoder
Stærke adgangskodepolitikker er grundlaget for enhver strategi til forebyggelse af brute force. Sørg for, at alle brugere overholder disse bedste praksisser:
Længde og kompleksitet: Kræv, at adgangskoder skal være mindst 12 tegn lange med en blanding af store og små bogstaver, tal og specialtegn.
Regelmæssige opdateringer: Håndhæv politikker for udløb af adgangskoder for at begrænse angrebsmulighederne.
Undgå genbrug: Implementer systemer, der forhindrer brugere i at genbruge gamle adgangskoder.
Forbyd almindelige passwords: Brug værktøjer til at blokere svage eller let gættede adgangskoder som “123456” eller “password”.
Implementer værktøjer til overvågning af Security
Overvågning og alarmering i realtid kan hjælpe med at opdage og reagere på brute force-angreb, før de lykkes. Overvej at bruge følgende værktøjer:
Systemer til opdagelse og forebyggelse af indtrængen (IDPS): Værktøjer som Snort eller Suricata kan registrere usædvanlige login-forsøg og blokere mistænkelige aktiviteter.
SIEM-løsninger: SIEM-systemer (Security Information and Event Management) som Splunk eller LogRhythm centraliserer logdata og giver indsigt i potentiel brute force-aktivitet.
Tærskler for låsning af konti: Konfigurer systemer til at låse konti midlertidigt efter et bestemt antal mislykkede loginforsøg.
Uddan medarbejderne i sikkerhedspraksis
Menneskelige fejl er en almindelig sårbarhed, som angribere udnytter. Løbende uddannelse sikrer, at medarbejderne er rustet til at genkende og afbøde risici:
Bevidsthed om phishing: Træn personalet i at identificere phishing-forsøg, der kan gå forud for brute force-angreb.
Password-hygiejne: Understreg vigtigheden af unikke, stærke adgangskoder til både arbejdskonti og personlige konti.
Rapporteringsprotokoller: Opfordr medarbejderne til straks at rapportere mistænkelige loginforsøg eller systemadfærd.
Udnyt tekniske konfigurationer
Tekniske sikkerhedsforanstaltninger kan gøre det betydeligt sværere for angribere at udføre brute force-angreb. Implementer disse foranstaltninger:
Begrænsning af hastighed: Sænk eller bloker IP-adresser efter en række mislykkede login-forsøg.
CAPTCHA-integration: Tilføj CAPTCHA-udfordringer til login-sider for at forhindre automatiserede login-forsøg.
IP-hvidlistning: Begræns login-adgangen til bestemte IP-intervaller, især for følsomme systemer.
Krypter adgangskoder: Brug stærke krypteringsalgoritmer, f.eks. Argon2, til at gemme korrekte password-hashes.
Fjernadgang ud over adgangskoden
Brute force-angreb udgør fortsat en betydelig risiko, men en proaktiv tilgang og forebyggelsesstrategier kan drastisk reducere deres indvirkning. Ved at implementere multifaktorgodkendelse (MFA), håndhæve stærke adgangskodepolitikker og udnytte avancerede sikkerhedsværktøjer kan organisationer opbygge et robust forsvar mod uautoriseret adgang.
Selv hvis din organisation er afhængig af ældre eller mere sårbare metoder til fjernadgang som RDP, er det et vigtigt første skridt at kræve MFA for alle logins. Ud over MFA kan strategier som brug af høje krypteringshastigheder, saltning af adgangskodehashes, fastsættelse af grænser for loginforsøg og anvendelse af CAPTCHA-udfordringer efter gentagne fejl forhindre brute force-angreb, før de lykkes.
Det er også vigtigt at uddanne medarbejderne, overvåge mistænkelig aktivitet og anvende værktøjer som indtrængningsdetekteringssystemer til at identificere potentielle trusler i realtid. Målet er ikke bare at reagere på angreb, men at forhindre dem i at blive til virkelighed.
For dem, der har læst denne artikel til ende, er konklusionen klar: Brute force-angreb kan afbødes med bevidste, lagdelte sikkerhedsforanstaltninger. Start med MFA – det er en af de enkleste, men mest effektive måder at sikre fjernadgang og beskytte din organisation på. Vent ikke med at styrke dit forsvar; det er tid til at handle nu.
