En ny studie från Sophos visar hur tjänster för fjärråtkomst som inte längre används men fortfarande är installerade kan bli farliga verktyg i händerna på cyberkriminella.
Där framgår att inkräktare lyckades röra sig fritt i det drabbade företagets nätverk och stjäla mer än 2 000 filer innan de i december släppte lös utpressningsprogrammet Midas.
Allt genom att använda den här typen av spökverktyg.
Måltavlan var i det här fallet ett teknikföretag med färre än 100 medarbetare. Vid tiden för angreppet arbetade de flesta anställda hemifrån på grund av pandemin. Företaget hade hela 14 olika program för fjärråtkomst installerade varav ett antal inte längre var i bruk, bland andra AnyDesk och TeamViewer. Med hjälp av dessa spökverktyg kunde angriparna röra sig fritt i företagets nätverk, skapa nya konton, installera bakdörrar och exfiltrera data för att under en helgdag till slut släppa lös gisslanprogrammet Midas.
– Det här angreppet sätter fingret på att traditionella säkerhetsperimetrar inte längre existerar. Dagens IT-miljöer har en dynamisk gräns som utgörs av en molnbaserad, virtuell IT-infrastruktur och tillgångar som nås via internet. Det kräver ett helt nytt sätt att se på cybersäkerhet som inte bygger på tillit utan i stället utgår från att allt och alla behöver kontrolleras, kommenterar Per Söderqvist, säkerhetsexpert på Sophos.
– Förutom det uppenbara, att ta bort alla verktyg och tjänster för fjärråtkomst som inte längre används, krävs det i dag ett robust försvar som bygger på så kallad Zero Trust Network Access (ZTNA). En sådan lösning kräver verifiering av varje enhet, server och användare innan man beviljar åtkomst till en applikation eller någon annan del av nätverket. Den typen av säkerhet baseras på konceptet ”lita inte på någonting, verifiera allt”, avslutar Per Söderqvist.