来自知名安全技术提供商Sophos（中文名：守护使）的研究人员警告说，网络犯罪分子正在通过滥用Windows远程桌面协议（RDP）来传播勒索软件。 [出自:jiwo.org]

这对于大多数小型企业来说是致命的，因为这样的企业通常会将IT基础架构建设及服务外包给第三方承包商，而这些承包商往往又会选择通过RDP来访问客户企业的网络。Sophos在这次攻击中观察到的规模最大的企业也仅有120名员工。

Sophos解释说，攻击者使用了Shodan（被CNNMoney报道是“互联网上最可怕的搜索引擎”）等网络搜索引擎来搜索RDP实例，然后利用NLBrute（一款暴力破解工具）对RDP发动暴力破解攻击，然后登录受害者企业网络系统并创建多个管理帐户。

一旦建立了永久性访问，攻击者就会下载并安装底层的系统调整软件。然后，使用该软件重新配置（或仅禁用）网络防御系统、备份服务和数据库服务。最后，将下载并运行勒索软件。

Sophos安全研究员Mark Stockley 在博文中写道：“因为攻击者通过之前的操作已经获取到了系统管理员权限，并将系统的各种防御软件进行了重新配置或者禁用，这允许他们能够使用老旧版本的勒索软件，甚至是很多已经免费开源的勒索软件来发起攻击。”

“在一个攻击实例中，我们在受害者企业系统的系统文件夹中看到了四种完全不同类型的勒索软件的。”Stockley写道。

针对这种威胁，Sophos建议各企业应采取以下预防措施：

• 当不需要使用RDP，请确保它处于关闭状态；
• 考虑使用虚拟专用网络（VPN）从网络外部进行连接；
• 尽可能使用双因素认证（2FA）；
• 经常并且尽早安装安全补丁；
• 在被攻击后，留意攻击者的活动；
• 设置锁定策略来限制密码猜测攻击。

当然，还有一个最值得注意但往往被忽视的预防措施就是定期备份敏感数据。

根据StorageCraft对500多名IT决策者的调查结果显示，51％的受访者表示，虽然他们将从频繁更新的数据备份中受益，但是他们现有的IT基础架构并足以支撑这些操作。

此外，51％的受访者表示，他们对被攻击后是否能够即时恢复数据的表示没有信心，43％的受访者表示他们正在为数据增长而苦苦挣扎，并相信情况会变得更糟。