Názor k článku Veselé Vánoce aneb Jak ransomware zašifroval firmám z Prahy data před účetní uzávěrkou od TM - V posledních par mesicich jsme měli u zakazniku...

V posledních par mesicich jsme měli u zakazniku takto prostrelene RDP, napadeny server a zasifrovana data. Pokud bylo RDP otevrene uplne (port 3389) tak se bud stavalo ze to zkouseli slovnikovym utokem nebo jen zahlcenim služby (takze legitimni uzivatele nemohli pracovat). Premapovani na jiny port moc nepomuze - oskenovat všechny porty netrva tak dlouho (pokud to nechces delat pomalu a opatrne) - jakmile najdou port, jsi ve stejne situaci.
U tech nasich pripadu doslo bud k tomu ze existovala nejaka neznama chyba kterou se RDP dalo prostřelit (i když to je mala pravdepodobnost) ale spise slo o to, ze nejaky ransomware na stanicich klientu vytahnul prihlasovaci udaje z ulozeneho RDP spojeni a ty pak pouzil pro prihlaseni (v logu rdp serveru je pak videt ze se prihlasil bezny uživatel, ale jeho IP byla z ruznych státu.
Jistota je proto dovolit RDP jen z konkretnich adres nebo dovolit pripojeni jen pomoci VPN. Bez toho je to riziko - nic se stat nemusi rok, ale taky muzes mit zasifrovana data hned druhy den.