Geçtiğimiz yıl içerisinde özellikle pandemi nedeni ile evden çalışanların sayısının oldukça artması, saldırganların uzaktan çalışanların oturum açma bilgilerini hedeflemelerine neden oldu.
Evden çalışmanın birçok işletme için gereklilik haline gelmesi nedeni ile çalışanlar iş yerlerine uzaktan bağlantı ve kurumsal VPN’ler aracılığı ile bağlanmak durumunda kaldılar.
Bu durum siber saldırganların işletmelere sızmak için gerçek kullanıcı adı ve parola bilgilerini ele geçirmeye çalışmalarına yol açtı. Saldırganlar, kullanıcıların oturum açma bilgilerini çeşitli oltalama yöntemleri ile ele geçirdiler, başka platformlardan çaldılar veya kolay olanları brute-force ile tahmin ettiler.
ESET Tehdit Raporuna göre 2020 yılı içerisinde dünya genelindeki RDP saldırılarında %768 artış gerçekleşti. Bu oran Türkiye’ye yönelik içeriden veya dışarıdan gerçekleştirilen saldırılar için de %571. Yani pandemi nedeni ile evden çalışmanın standart haline geldiği 2020 yılı içinde Türk şirketlere yapılan RDP saldırıları kademeli olarak olağan üstü şekilde arttı.
ESET, 2020 yılı içerisinde Türk şirketlere gerçekleştirilen 609 Milyon brute-force saldırısı tespit etti. Bu saldırılarda 14.500 şirket hedef alındı.
RDP saldırıları genellikle şirketlerin iç ağlarına sızarak fidye yazılım saldırısı düzenlemek veya şirketlerin hassas bilgilerini sızdırmak ve rakip şirketlere pazarlamak amacı ile kullanılıyor.
Bu tür saldırılar zararlı yazılımlar yerine doğal yöntemlerle gerçekleştirildiği için oldukça etkili oluyorlar. Saldırgan sisteme sızdıktan sonra kendisini yetkilendirerek uç nokta korumalarını devre dışı bırakabilir, exception ekleyebilir ve daha sonra zararlı yazılımları çalıştırmaya başlayabilir. Sistem üzerinde en iyi ihtimalle kripto madencilik yazılımı çalıştırmaktan tutun da fidye zararlıları ile verileri şifreleyerek yedek dosyalarını silmeye kadar birçok zararlı faaliyet sergileyebilir. Şirket ağı içerisinde aylarca kalarak siber espiyonaj amaçlı veri hırsızlığı yapabilir ve bu süre içerisinde hiç fark edilmeyebilir.
Çalışanların evlerindeki görece daha güvensiz ve hatta bazen hiç korunmayan ağlarından ve cihazlardan şirkete bağlanmaları bu tip saldırıları çok daha kolay hale getiriyor. Evden çalışmanın birçok şirket için standart haline geldiği 2021 yılından başlayarak gelecekte RDP saldırılarını artarak göreceğimizden şüpheniz olmasın.
Hangi önlemleri alabiliriz?
Şirketlerin ve IT Departmanlarının RDP saldırılarına karşı alabileceği önlemler de var tabi. Şirket içindeki en yetkisiz çalışan dahil tüm çalışanlara; zor, çok karakterli, karmaşık ve tahmin edilmesi güç parolalar kullanmanın önemini her gün hatırlatarak başlayabiliriz. Şirket için kullanılan oturum açma bilgileri asla ve asla başka platformlarda kullanılmamalıdır.
Şirket için RDP gerekli değil ise bağlantı mutlaka kapatılmalı ve engellenmelidir. Gerekli ise sadece ve sadece ihtiyacı olan kullanıcılara dikkatlice açılmalıdır. Birçoğumuz bunun basit bir işlem olduğunu ve RDP önlemlerini zaten aldığımızı düşünüyoruz. Fakat Türkiye’de 2020 yılında RDP saldırılarında gözlemlenen olağan üstü artış öyle demiyor!
Epostalar oltalama saldırılarının ilk ayaklarından biridir. Kullanıcılarımızı epostalarda kullanılan oltalama tekniklerine karşı sıklıkla bilinçlendirmeliyiz. Mümkün olduğunca bu epostaların gelen kutularına ulaşmasını engellemek için spam filtresi standartlarını yükseltmeli ve sıfır-gün tehditlerine karşı önlem almalıyız.
Özellikle dışarıya açık uygulama ve yazılımları çok faktörlü kimlik doğrulama ile korumak saldırganların RDP saldırılarını kolayca düzenlemelerinin önüne geçecektir.
Kullandığımız işletim sistemi ve diğer tüm yazılım ve donanımların en yeni güvenlik güncellemelerine ve firmware’lere sahip olduğundan emin olmalıyız.
Şirket dışında güvenilmeyen ağlar içerisinde çalışmak zorunda olan kullanıcılarımızın cihazlarında uzaktan yönetilebilen bir güvenlik duvarına sahip uç nokta çözümü her zamankinden daha önemli. Diğer taraftan güvenilir bir EDR çözümü ile uç nokta güvenlik yazılımının fark edemeyeceği, zararlı yazılım kullanılmayan, sadece geleneksel Microsoft veya Linux araçlarının kullanıldığı saldırıları izleyebilir, kontrol altında tutabilir ve engelleyebiliriz.
Bence az bile artmış, çok başı boş sistem var ne yazık ki.
Çok faktörlü kimlik doğrulama yoksa kapıyı kitleyip gitsinler..