Trong năm 2022, Kaspersky đã phát hiện và ngăn chặn thành công gần 76 triệu cuộc tấn công vào giao thức kết nối máy tính từ xa (RDP) tại Đông Nam Á, giảm 49% so với năm 2021. Đây là tin tức đáng mừng, tuy nhiên, người dùng cũng cần lưu ý về tình hình an ninh mạng trong khu vực.
Remote Desktop Protocol (RDP) là giao thức độc quyền của Microsoft, cung cấp cho người dùng giao diện để kết nối với một máy tính khác thông qua mạng. RDP được sử dụng rộng rãi bởi cả quản trị viên hệ thống và người dùng không chuyên về kỹ thuật để điều khiển máy chủ và các máy tính cá nhân khác từ xa.
Các công ty ở Việt Nam, Indonesia và Thái Lan là mục tiêu bị tấn công nhiều nhất. Việc kết nối, điều khiển máy chủ và các PC khác từ xa được sử dụng rộng rãi bởi cả các quản trị viên hệ thống và người dùng không chuyên về kỹ thuật. Do vậy, nếu thành công, kẻ tấn công sẽ có quyền truy cập từ xa vào máy chủ thông qua tài khoản nhân viên của các doanh nghiệp này.
Thống kê của Kaspersky cho thấy, đã có gần 76 triệu vụ tấn công Bruteforce Generic RDP bị ngăn chặn ở Đông Nam Á trong năm 2022. Tổng số vụ tấn công năm qua đã giảm khoảng một nửa so với năm 2011 – khoảng thời gian nhiều quốc gia trong khu vực vẫn đang thực hiện các chiến dịch giãn cách xã hội.
Một cuộc tấn công Bruteforce Generic RDP cố gắng tìm thông tin đăng nhập RDP hợp lệ bằng cách sử dụng thủ thuật đoán thử đúng và sai để dò tất cả các tổ hợp có thể cho đến khi tìm thấy mật khẩu đúng. Kẻ tấn công sẽ có quyền truy cập từ xa vào máy chủ được nhắm mục tiêu sau khi cuộc tấn công thành công.
Tại Việt Nam, số vụ tấn công Bruteforce Generic RDP bị ngăn chặn trong năm qua là 31,5 triệu vụ, nhiều nhất trong 6 nước được khảo sát. Tuy vậy, số vụ tấn công nhằm vào những người làm việc từ xa ở Việt Nam đã giảm mạnh, chỉ còn một nửa so với 59 triệu vụ của năm 2021.
Ông Yeo Siang Tiong, Tổng Giám đốc Kaspersky khu vực Đông Nam Á giải thích: "Từ gần 150 triệu cuộc tấn công Bruteforce nhắm vào các công ty trong khu vực vào năm 2021, con số này đã giảm đi một nửa vào năm 2022. Thoạt nhìn, đó là dấu hiệu tốt do việc chuyển sang môi trường làm việc trực tiếp thuần túy hoặc làm việc từ xa kết hợp, nghĩa là ít nhân viên trong khu vực làm việc từ xa hơn so với đỉnh điểm của đại dịch. Tuy nhiên, nhìn vào bối cảnh mối đe dọa rộng hơn, các chuyên gia của chúng tôi nhận thấy ngày càng có nhiều nhóm ransomware (mã độc tống tiền) khai thác RDP để có quyền truy cập ban đầu vào doanh nghiệp. Đây là điều mà đội ngũ an ninh nên chú ý".
Một báo cáo gần đây của Kaspersky tiết lộ kỹ thuật phổ biến nhất để giành quyền truy cập ban đầu giữa các nhóm ransomware: khai thác các dịch vụ bên ngoài. Tất cả 8 nhóm ransomware được đề cập trong báo cáo hầu hết đều hoạt động dưới dạng Ransomware as a Service (phần mềm tống tiền dưới dạng dịch vụ) bao gồm Conti, Pysa, Clop (TA505), Hive, RagnarLocker, Lockbit, BlackByte và BlackCat.
Các nhóm này sử dụng tài khoản hợp lệ, thông tin đăng nhập bị đánh cắp hoặc Bruteforce để truy cập vào mạng của nạn nhân. Báo cáo cũng lưu ý tất cả các nhóm ransomware đã sử dụng RDP mở để có quyền truy cập ban đầu vào hệ thống vì đây là cách dễ dàng nhất.
Để giảm thiểu rủi ro và tác động của cuộc tấn công ransomware do RDP Bruteforce gây ra, vị chuyên gia này đề xuất các doanh nghiệp cần triển khai một khái niệm mới được gọi là “phòng thủ toàn diện” nhằm chống lại các cuộc tấn công mạng có mục tiêu và được tổ chức tinh vi.
Theo đó, phương pháp tốt nhất để bảo vệ hệ thống trước các cuộc tấn công liên quan đến RDP là “giấu” nó đằng sau VPN và định cấu hình đúng cách. Bên cạnh đó, sử dụng mật khẩu mạnh cũng rất quan trọng để bảo vệ người dùng khỏi các mối đe dọa RDP.
Thu Phương (t/h)
