Las credenciales de escritorio
remoto robadas o deficientes son habitualmente utilizadas para infectar
sistemas de punto de venta con malware, pero recientemente también se han
convertido en un método de distribución común de ransomware para cifrar archivos.
El pasado mes de marzo un grupo
de investigadores descubrieron un programa de ransomware apodado “Sorpresa” que estaba siendo instalado a través
de credenciales robadas de TeamViewer, una popular herramienta de
administración remota.
No obstante, esta tendencia
comenzó en 2015 cuando algunas variantes de ransomware fueron distribuidas mediante ataques de fuerza bruta
contra el protocolo de escritorio remoto (RDP, por sus siglas en inglés).
Si bien este método de infección fue utilizado al principio por programas de ransomware relativamente oscuros, recientemente ha sido adoptado por un gran número de ciberdelincuentes y se ha incluido entre las familias de ransomware extendidas, como Crysis, un peligroso virus que infecta el ordenador y bloquea los archivos.
RDP: un objetivo
fácil
A los adversarios les gusta
apuntar a RDP porque el protocolo es fácil de usar y ofrece una oportunidad
para el control completo de los sistemas comprometidos. Es importante destacar
que le da a los atacantes acceso a un sistema a través de un protocolo que se
usa comúnmente para fines legítimos, por lo que es más difícil para los
defensores detectar actividad maliciosa.
"Hay una tendencia clara
hacia la automatización de los servidores RDP de orientación a través de
software de fuerza bruta y herramientas diseñadas para permitir que un gran
número de servidores sean controlados simultáneamente”. El acceso a los
servidores se vende en los mercados de ciberdelincuentes, y es posible
buscarlos por tipo de servidor dedicado y su geolocalización.
1. Usa contraseñas
seguras
Utiliza siempre nombres de
usuario y contraseñas fuertes para el acceso RDP. Las contraseñas deben ser
robustas, largas y seguras, Habilite la autenticación de dos factores,
especialmente para cuentas administrativas y oculte el acceso que tenga
asociado con una VPN.
2. Restringe los
accesos en base a los roles
Las organizaciones deben limitar
la cantidad de usuarios que tienen acceso de administrador a las consolas RDP.
También limite los privilegios de los usuarios que tienen dicho acceso.
"El control de acceso granular basado en roles ayudará a minimizar el daño
que los atacantes pueden causar después tras entrar".
3. Habilite la Autenticación de nivel de red (NLA) para RDP
Network Level Authentication
ofrece una capa adicional de protección. Cuando está habilitado, un usuario que
intenta conectarse a un sistema remoto a través de RDP necesitará autenticar su
identidad en primer lugar, antes de que se establezca una sesión. "No
desactive la autenticación de nivel de red, ya que ofrece un nivel de
autenticación adicional.
4. Cambiar el puerto
RDP
Servicios como Shodan hacen que sea fácil para los atacantes
encontrar sistemas expuestos a Internet que ejecuten RDP. Cambiar su puerto RDP
asegura que los programas que habitualmente escanean estos puertos que buscan
RDP abiertos, no serán encontrados, "Por defecto, el servidor escucha en
el puerto 3389, tanto para TCP como para UDP".
5. Mantenga un registro de los servidores RDP
Sepa qué sistemas en su entorno
tienen habilitado RDP. Asegúrese de que no haya servidores RDP no autorizados
en su red, especialmente todo lo que esté conectado directamente a Internet.
Considere habilitar el registro y la supervisión en los registros del servidor
RDP para saber quién los utiliza.
7. Responde ante
síntomas iniciales
Es necesario tener mecanismos para detectar un ataque RDP y
detenerlo rápidamente. Por ejemplo, considere implementar herramientas de
seguridad que puedan detectar intentos de inicio de sesión repetidos en un
sistema RDP. Guárdese un as en la manga para detectar aquellos accesos
sospechosos que intentan iniciar sesión desde una IP extraña o lugares
geográficos remotos.
"Las organizaciones deben ser conscientes de que los malhechores atacarán su infraestructura de RDP, no solo para intentar llevar a cabo acciones de ransomware o criptominería, sino también como parte de ataques dirigidos. "RDP es una gran herramienta para el acceso remoto, tanto para el uso autorizado de los empleados, como para los ciberatacantes".
Por último, es interesante contar con programas y herramientas de seguridad, ya no sólo para protegerse de ransomware, y ataques dirigidos vía RDP, sino de cualquier tipo de amenaza.
Por eso te invitamos a que consultes por nuestros planes de ciberseguridad, sac@alfa.com.ni, soporte@alfa.com.ni que te ayudaran a estar protegidos de las diferentes amenazas que existen en la red.