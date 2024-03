De FBI roept organisaties op om het gebruik van RDP strikt te beperken en als het wordt gebruikt de nodige maatregelen te treffen. De oproep van de Amerikaanse opsporingsdienst staat in een document over de Phobos-ransomware (pdf). Deze ransomware wordt al jaren door criminelen gebruikt bij aanvallen, onder andere tegen vitale sectoren. Daarbij is het de criminelen gelukt om miljoenen dollars losgeld van slachtoffers te krijgen.

Om toegang tot de netwerken van slachtoffers te verkrijgen maken de criminelen gebruik van het remote desktop protocol (RDP), waarmee het mogelijk is om op afstand op systemen in te loggen. De criminelen scannen eerst naar ip-adressen waarop RDP-poorten open staan of gebruiken RDP in Windowsomgevingen, aldus de FBI. Via bruteforce-aanvallen wordt vervolgens geprobeerd in te loggen. Is dit succesvol, dan wordt de rest van het netwerk gecompromitteerd en data gestolen.

De FBI doet organisaties verschillende aanbevelingen om zich te beschermen, waaronder het strikt beperken van RDP en andere remote desktop services. Is RDP noodzakelijk, dan moeten de nodige best practices worden gevolgd. Het gaat dan om het sluiten van ongebruikte RDP-poorten, het in kaart brengen van welke systemen RDP gebruiken, het instellen van account lockouts na een aantal mislukte inlogpogingen, het toepassen van phishingbestendige multifactorauthenticatie en het loggen van RDP-inlogpogingen.