犯罪分子发动对RDP(远程桌面协议)服务器的暴力攻击,目的是渗透到企业网络并且向价值大的目标传播勒索软件。
远程桌面是由微软设计的专利协议,目的是让系统管理员通过LAN或互联网远程管理Windows计算机。当用户登录到一台远程计算机时,总会被要求通过一个主机账户及其用户名和密码进行验证。跟其它用户验证系统一样,RDP登录可能遭受到了暴力攻击,也就是说攻击者会多次尝试通过不同的用户名和密码组合来猜测正确的登录凭证。
一旦攻击者攻陷了一台RDP服务器,黑客就能够通过这个入口点向位于同样网络的其它系统进行传播。如果被攻陷的服务器同时也是一个网络域名管理员,每个客户端工作站的凭证就会被捕获并用于入侵这些计算机。
在最近的一轮攻击潮中,安全研究人员表示勒索软件开始成为攻击者最喜爱的工具。过去黑客通过使用不安全的RDP服务器来渗透进网络并窃取数据,而现在通过勒索软件来将攻击货币化变得更容易了。
在一系列检测到的攻击中,犯罪分子利用RDP服务器的中间位置来向更多的计算机尽可能多地传播勒索软件,锁定敏感的企业数据并要求支付巨额勒索金。
在多数情况下,犯罪分子提出的勒索金并不固定,只会留下一个邮件地址。受害者可联系该地址并且根据网络规模来谈判解密密钥的价码。要想避免此类勒索,企业不应当将RDP端口暴露,除非在必要的情况下。而且即使是非常必要,企业也应该通过能够检测到暴力攻击的防火墙和安全解决方案来保护连接安全。