Diciamolo: il controllo remoto facilita enormemente il lavoro di chi si occupa di IT.

Quante volte ti ha salvato la vita?

Quanto tempo avresti perso se avessi dovuto eseguire fisicamente sulle macchine dei clienti tutte le operazioni che hai eseguito tramite accesso remoto?

Credo che si tratti di una quantità incalcolabile.

Ma nell’IT, si sa, non esiste qualcosa che sia privo di difetti e i cyber criminali sono pronti a sfruttare ogni potenziale falla per “portare a casa la pagnotta”.

E l’RDP (Remote Desktop Protocol), purtroppo, è un ghiotto bersaglio per questi individui.

Ti dirò di più.

Se in passato il ransomware prendeva di mira qualunque tipo di attività e cercava di penetrare nei sistemi IT delle aziende puntando sulla quantità piuttosto che sulla qualità, ultimamente il trend è in inversione e sono sempre di più i casi in cui il nemico numero uno degli informatici riesce a fare breccia sfruttando degli RDP non protetti a dovere.
 

Se ti interessa approfondire questo aspetto, abbiamo parlato in maniera approfondita di ransomware e attacchi tramite sessioni remote in un webinar: qui puoi trovare la registrazione.

I primi attacchi di questo tipo risalgono al 2016 ma, di recente, una variante di ransomware chiamata SamSam ha colpito organizzazioni anche molto grosse negli Stati Uniti sfruttando questo tipo di vulnerabilità.

Ma come fa un malintenzionato a sfruttare l’RDP per i suoi loschi scopi?

Il protocollo RDP utilizza di default una porta che è facilmente individuabile con una semplice scansione. E, sfortunatamente, la username di default per accedervi è molto spesso “Administrator”.

Mettici poi che le policy sulle password, per usare un eufemismo, non sono il punto forte di molte aziende e il quadro che ne risulta è quello che vedi qui sotto.
 

Pensa che sul dark web è addirittura possibile acquistare l’accesso in RDP a macchine già hackerate.

Quindi letteralmente chiunque può sfruttare queste falle di sicurezza.

Una volta che un criminale ha accesso in remoto al desktop di un’azienda è praticamente fatta, può fare tutto ciò che vuole: rubare dati, criptarli con un ransomware dopo aver vanificato i sistemi di sicurezza e verificato con un’indagine l’ammontare da chiedere al malcapitato o installare un software di cryptomining che in maniera silente sfrutta la CPU e la GPU delle macchine per minare cripto valute.

Soldi “facilissimi” insomma.


Cosa fare per proteggersi dagli attacchi via sessioni RDP

Proteggersi da questo tipo di attacchi non è difficile come può sembrare.

Ti basta mettere in pratica quanto ti riporto qui sotto per mettere al sicuro la tua azienda e quella dei tuoi clienti.

Per prima cosa, per prevenire la scansione di una porta lasciata aperta per accedere in remoto:
 
  • cambia la porta RDP di default dalla 3389 a un’altra che non usi;
  • blocca l’RDP (e la porta 3389) via firewall;
  • consenti l’RDP solo a un certo range di indirizzi IP verificati;
  • utilizza uno strumento RMM per accedere in remoto e in sicurezza ai sistemi che devi gestire.
Per impedire a un malintenzionato di accedere a una macchina se l’RDP è abilitato, invece, conviene creare un Group Policy Object (GPO) per assicurarti che vengano utilizzate delle password sicure.

In più, per aumentare ulteriormente la sicurezza, potresti richiedere un’autenticazione a due fattori, associando alla password un pin inviato su un secondo device o un fattore biometrico.

Se vuoi saperne di più sull’autenticazione a due fattori, ne abbiamo parlato sul blog e in un episodio del podcast RadioAchab.

Come vedi si tratta di semplici accortezze che non tutti mettono in atto, ma che possono evitare guai molto seri a te e ai tuoi clienti.

Condividi sui Social Network