רשות הסייבר הלאומית הודיעה הערב (שלישי) כי לאחרונה התקבלו אינדיקציות לתקיפות של פוגען כופר ותיק בשם Crysis באמצעות פרוטוקול RDP המשמש לחיבור מרחוק. גל התקיפות הנוכחי של הפוגען מתרכז במדינות במזרח התיכון ובדרום אמריקה. המידע הראשוני על התקיפות הגיע מחברת ESET ועל פי הרשות, דיווחים ראשונים על הפוגען החלו כבר ב-2016.
על פי ההערכות, וקטור התקיפה הוא באמצעות פרוטוקול RDP. פרוטוקול זה משמש לחיבור מרחוק לעמדות עבודה על מנת להשתלט עליהן מרחוק ולחילופין על מנת לקבל גישה מרחוק לשרת המספק יישומים ארגוניים. מדובר בפוגען כופר מוכר אשר ככל הנראה בגרסתו החדשה משנה את סיומת הקבצים אותם הוא מצפין לסיומת arena.
הרשות פירטה את דרכי ההתמודדות עם התקיפות: מומלץ לא לאפשר גישה ישירה מרשת האינטרנט באמצעות פרוטוקול RDP (פורט 3389). במידה ויש צרכים עסקיים המחייבים שימוש בפרוטוקול זה, מומלץ להשתמש ב-VPN עם הזדהות חזקה טרם החיבור ל-RDP.
מומלץ להתקין את כל עדכוני האבטחה שפרסמה חברת מיקרוסופט לשרתים וקליינטים העושים שימוש בפרוטוקול זה, לאחר בדיקתם במערכותיכם.
מומלץ להגביל באמצעות FW את הגישה של עמדה או שרת הנגישים בפרוטוקול זה, כך שיוכלו לגשת למינימום המערכות והמידע הנדרשים ברשת הארגונית.