Efterh\u00e5nden som flere organisationer bev\u00e6ger sig i retning af fjernarbejde, distribuerede teams og cloudforbundne milj\u00f8er, er l\u00f8sninger til fjernadgang blevet uundv\u00e6rlige v\u00e6rkt\u00f8jer for at g\u00f8re arbejdsstyrken mere fleksibel.<\/p>\n\n
Men selvom fremkomsten af fjernadgang er et fremragende teknologisk fremskridt, har det skabt flere adgangspunkter og flere muligheder for angribere.<\/p>\n\n
I dag er angreb med fjernadgang og udnyttelse af Remote Desktop Protocol (RDP) stadig blandt de mest almindelige indledende adgangsmetoder, der bruges af ransomware-grupper og cyberkriminelle.<\/p>\n\n
En positiv tendens? Vi har nu mere detaljeret rapportering end nogensinde. sikkerhedsleverand\u00f8rer, IR-teams og nyhedsmedier offentligg\u00f8r ofte h\u00e6ndelsesanalyser, der viser pr\u00e6cist, hvordan angribere f\u00e5r adgang, hvilke v\u00e6rkt\u00f8jer til fjernadgang de bruger, og hvordan de eskalerer privilegier.<\/p>\n\n
For organisationer, der er opm\u00e6rksomme, giver dette niveau af gennemsigtighed to store fordele:<\/p>\n\n
I denne guide gennemg\u00e5r vi de mest almindelige s\u00e5rbarheder ved fjernadgang, hvordan angribere udnytter dem, og de specifikke skridt, du kan tage for at sikre dit milj\u00f8 og forhindre RDP-baserede ransomware-angreb.<\/p>\n\n
S\u00e5rbarheder i fjernadgang<\/a> er rygraden i mange vellykkede cyberangreb. De giver angribere en \u00e5ben d\u00f8r til at infiltrere dit netv\u00e6rk, stj\u00e6le data eller installere ondsindet software.<\/p>\n\n Efterh\u00e5nden som det globale fjernarbejde udvides, vokser risikoen for fjernadgang. If\u00f8lge World Economic Forum<\/a> vil antallet af globale digitale jobs stige med 25 % inden 2030, hvilket vil give millioner af nye eksterne slutpunkter, som kan blive potentielle indgangspunkter for angribere.<\/p>\n\n Dette understreger vigtigheden af at forst\u00e5 disse s\u00e5rbarheder for at styrke din sikkerhed og forhindre potentielle brud.<\/p>\n\n Nedenfor gennemg\u00e5r vi de mest almindelige s\u00e5rbarheder for fjernadgang, som organisationer st\u00e5r over for i dag:<\/p>\n\n Mange organisationer mangler omfattende synlighed og forst\u00e5else af systemer til fjernadgang, s\u00e5som VPN-konfigurationer, RDP-indstillinger og tredjepartsadgangskontrol.<\/p>\n\n Uden en klar oversigt over fjernadgangsv\u00e6rkt\u00f8jer og slutpunkter er det let at opst\u00e5 fejlkonfigurationer. Disse huller i viden kan f\u00f8re til:<\/p>\n\n Desuden kan fjernarbejdere ubevidst oprette forbindelse til usikret offentlig Wi-Fi, hvilket \u00f8ger risikoen for man-in-the-middle-angreb.<\/p>\n\n Deling af adgangskoder er en almindelig, men farlig praksis. N\u00e5r medarbejdere deler legitimationsoplysninger, is\u00e6r til systemer med fjernadgang, bliver det sv\u00e6rt at spore ansvarlighed.<\/p>\n\n Genbrugte eller svage adgangskoder g\u00f8r systemer s\u00e5rbare over for brute-force-angreb eller credential stuffing. Desuden kan manglende \u00e6ndring af delte adgangskoder, n\u00e5r en medarbejder forlader virksomheden, g\u00f8re systemerne \u00e5bne for udnyttelse l\u00e6nge efter, at medarbejderen er v\u00e6k.<\/p>\n\n Ransomware og andre typer malware udnytter ikke-patchet software. Mange organisationer bruger fortsat for\u00e6ldet RDP-software, VPN-klienter eller andre systemer til fjernadgang, som er kendte m\u00e5l for cyberkriminelle. S\u00e5rbarheder i disse systemer:<\/p>\n\n Mange softwareleverand\u00f8rer udsender regelm\u00e6ssigt patches for at rette disse s\u00e5rbarheder, men hvis man ikke anvender opdateringer, er systemerne udsatte. Tredjepartssoftware, plugins eller udvidelser, der er for\u00e6ldede eller usikre, kan ogs\u00e5 give utilsigtede adgangspunkter.<\/p>\n\n Personlige enheder, som ikke administreres af organisationens IT-afdeling, udg\u00f8r en betydelig risiko, n\u00e5r de bruges til arbejde. Medarbejdere kan oprette forbindelse fra:<\/p>\n\n Disse enheder kan ogs\u00e5 mangle regelm\u00e6ssige sikkerhedsopdateringer, hvilket g\u00f8r organisationer s\u00e5rbare over for malware og ransomware-angreb. Personlige enheder har typisk ikke det samme niveau af kontrol, overv\u00e5gning eller autentificering som virksomhedsadministrerede enheder, hvilket g\u00f8r dem s\u00e5rbare over for uautoriseret adgang.<\/p>\n\n Mange organisationer st\u00e5r over for udfordringer med at patche og opdatere systemer, is\u00e6r n\u00e5r de har at g\u00f8re med \u00e6ldre infrastruktur eller begr\u00e6nsede IT-ressourcer. Upatchede systemer er nemme m\u00e5l for cyberkriminelle, som aktivt scanner netv\u00e6rk for s\u00e5rbarheder. N\u00e5r patches er forsinkede eller udebliver:<\/p>\n\n N\u00e5r det g\u00e6lder RDP, bruger angribere ofte brute-force-angreb p\u00e5 svage eller upatchede tjenester for at f\u00e5 adgang.<\/p>\n\n Sikkerhedskopier er afg\u00f8rende for genoprettelse i tilf\u00e6lde af et cyberangreb, men usikre sikkerhedskopier kan ogs\u00e5 v\u00e6re et m\u00e5l. Angribere leder ofte efter udsatte cloud-backups eller ukrypterede data og bruger dem som sekund\u00e6re angrebspunkter. Uden st\u00e6rk adgangskontrol og kryptering kan disse backups blive en nem indgang til datatyveri eller ransomware.<\/p>\n\n Fors\u00f8mmelse af regelm\u00e6ssige opdateringer af enheder og sikkerhedstjek kan \u00f8ge risikoen for malware- og ransomware-infektioner. Over tid akkumulerer enheder s\u00e5rbarheder, som:<\/p>\n\n Regelm\u00e6ssig enhedshygiejne og opdatering af sikkerhedssoftware er afg\u00f8rende for at reducere risikoen for brud p\u00e5 sikkerheden.<\/p>\n\n Phishing er stadig en af de mest udbredte metoder til at f\u00e5 uautoriseret adgang. Cyberkriminelle sender:<\/p>\n\n Angribere bruger nu avancerede taktikker, herunder maskinl\u00e6ring, til at lave personlige phishing-meddelelser og dom\u00e6nespoofing for at g\u00f8re deres angreb mere trov\u00e6rdige. N\u00e5r legitimationsoplysningerne er stj\u00e5let, kan de nemt bruges til at f\u00e5 adgang til fjernadgangssystemer som RDP, VPN’er eller cloudtjenester.<\/p>\n\n Det har l\u00e6nge v\u00e6ret kendt, at en betydelig procentdel af ransomware-angreb, uanset variant, begynder med enten phishing eller Remote Desktop-baserede indbrud.<\/p>\n\n Phishing, som vi n\u00e6vnte i forrige afsnit, er et oplagt indgangspunkt: N\u00e5r det lykkes, giver det angriberne en endpoint-session og gyldige brugeroplysninger. Men fjernskrivebordsangreb (inklusive dem, der udf\u00f8res via kommercielle fjernadgangsv\u00e6rkt\u00f8jer) giver det samme resultat.<\/p>\n\n Uanset om angriberne bruger brute-force-fors\u00f8g \u2013 tester tusindvis af adgangskoder \u2013 eller stj\u00e5lne legitimationsoplysninger, der er k\u00f8bt eller h\u00f8stet fra tidligere brud, er RDP-baserede angreb stadig lige effektive og st\u00e5r derfor side om side med phishing som en af de st\u00f8rste indledende angrebsvektorer.<\/p>\n\n Et veldokumenteret eksempel er MedusaLocker, en ransomware-variant, der f\u00f8rst blev identificeret i 2019, og som for nylig er genopst\u00e5et i en s\u00e5dan grad, at det har f\u00f8rt til en f\u00e6lles cybersikkerhedsadvarsel<\/a> fra offentlige myndigheder. MedusaLocker-operat\u00f8rer g\u00e5r prim\u00e6rt efter eksponerede RDP-forbindelser<\/a> – nogle gange offentliggjort med vilje for nemheds skyld, andre gange efterladt \u00e5bne ved et uheld. N\u00e5r de har f\u00e5et adgang, installerer de ransomware, krypterer kritiske data og kr\u00e6ver betaling.<\/p>\n\n En anden sag med stor effekt, dokumenteret af forskere hos Sophos, afsl\u00f8rede, hvordan en gruppe, der udnyttede LockBit-ransomware, infiltrerede et amerikansk regeringsnetv\u00e6rk via RDP<\/a>. Chokerende nok bev\u00e6gede angriberne sig lateralt rundt i netv\u00e6rket i fem m\u00e5neder uden at blive opdaget, f\u00f8r de startede udrulningen af ransomware.<\/p>\n\n Nu hvor du forst\u00e5r, hvordan angribere udnytter s\u00e5rbarheder i fjernadgang til at f\u00e5 adgang, s\u00e5 lad os se p\u00e5, hvordan de eskalerer og bev\u00e6ger sig lateralt ved hj\u00e6lp af fjernadgang:<\/p>\n\n N\u00e5r angriberne har f\u00e5et lokal adgang, er den n\u00e6ste logiske fase if\u00f8lge MITRE ATT&CK Framework lateral bev\u00e6gelse. Mekanismer for fjernadgang (is\u00e6r intern RDP) misbruges ofte i denne fase.<\/p>\n\n Nylige data fra ransomware-responsfirmaet<\/a> Coveware viser, at lateral bev\u00e6gelse forekommer i ca. 70 % af ransomware-angrebene. Deres analytikere bem\u00e6rker, at denne fase “hovedsageligt best\u00e5r af misbrug af internt fjernskrivebord (RDP), efter at der er opn\u00e5et indledende adgang.”<\/p>\n\n Ved at bev\u00e6ge sig sidev\u00e6rts kan angribere eskalere tilladelser, f\u00e5 adgang til flere endpoints, finde f\u00f8lsomme data og placere ransomware, s\u00e5 den f\u00e5r maksimal effekt.<\/p>\n\n Da trusselsakt\u00f8rer konsekvent misbruger fjernadgang til ondsindede form\u00e5l, m\u00e5 it- og sikkerhedsledere tage afg\u00f8rende skridt for at reducere risikoen. Nedenfor er de mest effektive tiltag, organisationer kan tage for at forhindre misbrug:<\/p>\n\n Angribere fors\u00f8ger ofte at bryde legitimationsoplysninger p\u00e5 computere og servere, der er eksponeret for det offentlige internet. Selv Microsofts seneste Windows 11-opdatering<\/a>, som automatisk blokerer RDP-brute-force-fors\u00f8g, kan ikke afb\u00f8de truslen fuldt ud, is\u00e6r ikke n\u00e5r angriberne har et s\u00e6t stj\u00e5lne legitimationsoplysninger i h\u00e5nden.<\/p>\n\n Med 59 % af organisationerne<\/a>, der oplever phishing-baserede kampagner med fokus p\u00e5 at stj\u00e6le legitimationsoplysninger, sammen med tilstedev\u00e6relsen af Dark Web-tjenester, der er dedikeret til at s\u00e6lge legitimationsoplysninger<\/a>, burde det v\u00e6re tydeligt, at mange angribere ikke l\u00e6ngere er afh\u00e6ngige af brute force for at f\u00e5 adgang.<\/p>\n\n N\u00e5r det er muligt, skal du fjerne eksternt tilg\u00e6ngelige RDP- og andre fjernadgangsruter p\u00e5 desktop-niveau.<\/p>\n\n For b\u00e5de eksternt og internt baseret fjernskrivebordsadgang har Microsoft taget skridt til at sikre, at RDP-tjenesterne er s\u00e5 sikre som muligt. Men der er stadig et dobbelt problem:<\/p>\n\n Hvis du skifter til sikre, moderne l\u00f8sninger til fjernadgang med detaljeret adgangskontrol, kan du reducere din risiko betydeligt.<\/p>\n\n Multifaktorautentificering (MFA) er fortsat et af de mest effektive forsvar mod misbrug af fjernadgang. Ved at kr\u00e6ve en anden faktor, s\u00e5som smartcards, certifikater, autentificeringsapps eller hardwaren\u00f8gler, bliver stj\u00e5lne adgangskoder effektivt ubrugelige og forhindrer uautoriseret adgang, selv n\u00e5r legitimationsoplysningerne er kompromitteret.<\/p>\n\n Regelm\u00e6ssig opdatering og patchning af alle v\u00e6rkt\u00f8jer og software til fjernadgang er afg\u00f8rende for at holde angriberne p\u00e5 afstand. Upatchede systemer er et hovedm\u00e5l for cyberkriminelle, s\u00e5 det er vigtigt at holde sig ajour med opdateringer for at beskytte dit netv\u00e6rk.<\/p>\n\n Invester i cybersikkerhedstr\u00e6ning for at \u00f8ge bevidstheden om de risici, der er forbundet med fjernadgang. Hvis du uddanner din arbejdsstyrke i farerne ved phishing og h\u00e5ndtering af adgangskoder, vil det hj\u00e6lpe med at reducere sandsynligheden for tyveri af legitimationsoplysninger og uautoriseret adgang.<\/p>\n\nMangel p\u00e5 information og synlighed<\/h3>\n\n
\n
Deling af adgangskoder og svage legitimationsoplysninger<\/h3>\n\n
Usikker eller for\u00e6ldet software<\/h3>\n\n
\n
Brug af personlige enheder til fjernarbejde<\/h3>\n\n
\n
Utilstr\u00e6kkelig patchh\u00e5ndtering<\/h3>\n\n
\n
S\u00e5rbare sikkerhedskopier<\/h3>\n\n
D\u00e5rlig enhedshygiejne<\/h3>\n\n
\n
Phishing-angreb<\/h3>\n\n
\n
S\u00e5dan udnytter angribere s\u00e5rbarheder i fjernadgang til at f\u00e5 adgang<\/h2>\n\n
Virkelige eksempler p\u00e5 RDP-udnyttelse<\/h4>\n\n
Hvordan angribere eskalerer og bev\u00e6ger sig lateralt ved hj\u00e6lp af fjernadgang<\/h3>\n\n
Effektive strategier til at forhindre misbrug af fjernadgang i ransomware-angreb<\/h2>\n\n
Deaktiver eksternt vendt fjernadgang<\/h3>\n\n
Overvej at stoppe RDP helt og aldeles<\/h3>\n\n
\n
Aktiv\u00e9r sikker godkendelse<\/h3>\n\n
Opdater og patch software regelm\u00e6ssigt<\/h3>\n\n
Uddan og tr\u00e6n medarbejdere<\/h3>\n\n