Un compromiso de RDP proporciona a un ciberdelincuente una puerta trasera para ransomware y otros tipos de malware, dice el proveedor de seguridad ESET.
El bloqueo del coronavirus ha llevado a una serie de organizaciones a exigir que su personal trabaje desde casa. Pero muchos de esos empleados todavía necesitan acceder de forma remota a las computadoras en la oficina, lo que ha provocado un aumento en el uso de programas que dependen del Protocolo de escritorio remoto (RDP) de Microsoft. Por supuesto, los ciberdelincuentes se han abalanzado sobre esta transición, razón por la cual RDP es más explotable que nunca. UN informe publicado el lunes de ESET analiza cómo los atacantes se aprovechan de RDP y qué pueden hacer las organizaciones para combatirlos.
VER: Cómo trabajar desde casa: guía para profesionales de TI sobre teletrabajo y trabajo remoto (TechRepublic Premium)
Aunque el Protocolo de escritorio remoto puede ser un riesgo de seguridad suficiente por sí solo, las organizaciones a menudo agravan las vulnerabilidades al no proteger adecuadamente las cuentas y los servicios RDP. Las cuentas con privilegios de RDP pueden tener una contraseña débil o no tener capas adicionales de seguridad. Esos defectos abren la puerta a ataques de fuerza bruta en los que los ciberdelincuentes utilizan herramientas automatizadas para obtener la contraseña de la cuenta. Si tiene éxito, los atacantes pueden invadir una red, elevar sus derechos con acceso administrativo, deshabilitar productos de seguridad e incluso ejecutar ransomware para cifrar datos críticos y mantenerlos como rehenes.
Sin embargo, el ransomware y la extorsión no son los únicos tipos de ataques que pueden seguir un compromiso de RDP, según ESET. A menudo, los atacantes intentarán instalar malware de minería de monedas o incluso crear una puerta trasera, que luego se puede usar si su acceso RDP no autorizado alguna vez se identifica y cierra.
Otras acciones realizadas por atacantes después de una violación de RDP incluyen borrar archivos de registro para eliminar evidencia de su actividad, instalar herramientas y malware en máquinas comprometidas, deshabilitar o eliminar copias de seguridad programadas y extraer datos del servidor.
ESET ha experimentado un aumento este año en los ataques RDP reportados entre sus clientes. De poco menos de 30,000 ataques reportados por día en diciembre de 2019, el volumen ha estado rondando los 100,000 desde abril de 2020.
Tendencia de intentos de ataque RDP contra clientes únicos por día detectados por ESET.
Imagen: ESET
“RDP ha sido un vector de ataque popular durante muchos años, pero esto ha aumentado aún más desde que los equipos de TI tuvieron que adaptarse a una fuerza de trabajo remota debido a COVID-19”. dijo Javvad Malik, defensor de la conciencia de seguridad de KnowBe4.
“En un intento de mantener el espectáculo en movimiento, muchos equipos de TI habrían habilitado RDP además de relajar los controles de seguridad para permitir que los empleados trabajen sin obstáculos desde casa”, dijo Malik. “Sin embargo, todo esto se acumula como deuda técnica, una deuda que los delincuentes conocen bien y que les llevaría a incrementar sus ataques”.
¿Cómo pueden las organizaciones protegerse mejor contra los compromisos de RDP mediante ataques de fuerza bruta? Un esfuerzo clave comienza con la contraseña misma.
“Hacer cumplir la disciplina de contraseñas donde los usuarios deben elegir contraseñas complejas con mayúsculas, minúsculas, numéricos y caracteres especiales, con una longitud mínima superior a 14 caracteres, hace que un ataque de fuerza bruta sea mucho más complicado”, dijo Saryu Nayyar, CEO de Gurucul. “Quince caracteres es un mínimo para soportar ataques de mesa arcoiris, con contraseñas más largas que brindan una seguridad mucho mayor.
Pero incluso las contraseñas seguras deben estar respaldadas por herramientas como la autenticación multifactor y el análisis de seguridad.
“La autenticación multifactor también puede reducir en gran medida el riesgo de ataques de fuerza bruta, ya sea que se proporcione a través de una aplicación o una clave de acceso física”, dijo Nayyar. “El análisis de seguridad avanzado puede ayudar a identificar un ataque de fuerza bruta antes de que una cuenta se vea comprometida al identificar los comportamientos asociados con este vector de ataque, bloqueando automáticamente el acceso a nivel de infraestructura o cuenta”.
La formación de los usuarios es un factor más importante que añadir a su estrategia de ciberdefensa.
“Sin embargo, vale la pena tener en cuenta que incluso cuando se implementan estos controles de seguridad, los delincuentes aún pueden ingresar mediante la ingeniería social de los usuarios”, dijo Malik. “Especialmente durante este tiempo en el que muchos trabajan de forma remota desde casa, se ha vuelto más fácil para los delincuentes hacerse pasar por el servicio de asistencia de TI para suplantar credenciales o persuadir a los usuarios para que descarguen archivos maliciosos, razón por la cual la conciencia y la capacitación en seguridad también deben formar un componente crítico de cualquier estrategia defensiva en capas “.
Por último, ESET ofrece varios consejos para configurar y proteger eficazmente sus cuentas y servicios de acceso remoto:
- Deshabilitar RDP orientado a Internet. Si eso no es posible, minimice la cantidad de usuarios a los que se les permite conectarse directamente a los servidores de la organización a través de Internet.
- Requiere contraseñas seguras y complejas para todas las cuentas en las que se puede iniciar sesión mediante RDP.
- Utilice una capa adicional de autenticación (MFA / 2FA).
- Instalar una red privada virtual (VPN) puerta de enlace para intermediar todas las conexiones RDP desde fuera de su red local.
- En el firewall perimetral, no permita las conexiones externas a las máquinas locales. en el puerto 3389 (TCP / UDP) o cualquier otro puerto RDP.
- Proteja su software de seguridad para endpoints de alteraciones o desinstalaciones protegiendo con contraseña su configuración.
- Aísle cualquier computadora insegura u obsoleta a los que se debe acceder desde Internet mediante RDP y reemplazarlos lo antes posible.
- Aplicar todas estas mejores prácticas a FTP, SMB, SSH, SQL, TeamViewer, VNC y otros servicios también.
- Configure su RDP correctamente utilizando los consejos compartidos en este Informe de ESET de diciembre de 2019.
Tecnotraffic
Esperemos que te haya sido útil Comparte nuestro post . .
Nos vemos pronto!