Image Alt

Entercomm

Noticias

Sophos alerta del peligro de las conexiones remotas

Sophos ha lanzado un nuevo estudio que revela cómo los cibercriminales están intentando atacar a las empresas de forma constante mediante el uso del protocolo de escritorio remoto (RDP, por sus siglas en inglés)

Julio de 2019. Sophos, líder global en seguridad de redes y endpoints, lanzó una nueva investigación El RDP Expuesto: La Amenaza Que Ya Está En Tu Puerta, la cual revela cómo los ciberdelincuentes intentan atacar a las organizaciones de forma incesante mediante el uso del Protocolo de Escritorio Remoto (RDP), o la conexión a la pc remotamente.
RDP sigue siendo un dolor de cabeza para los administradores de sistemas. Sophos ha estado informando sobre cibercriminales que explotan RDP desde 2011, y en el último año, los ciberdelincuentes detrás de dos de los ataques de ransomware más grandes, Matrix y SamSam, han abandonado casi por completo todos los demás métodos de ingreso a la red para utilizar RDP.
Matt Boddy, especialista en seguridad de Sophos, investigador principal del informe, afirma: “Recientemente, un error de ejecución remota de código en RDP, apodado BlueKeep (CVE-2019-0708), ha estado en los titulares. Según lo informado por SophosLabs hace solo unas semanas, Bluekeep PoC demuestra riesgo de explotación de escritorio remoto, esta es una vulnerabilidad tan grave que podría usarse para desencadenar un brote de ransomware que podría extenderse por todo el mundo en cuestión de horas. Sin embargo, protegerse contra las amenazas de RDP va mucho más allá de parchear los sistemas contra BlueKeep, que es solo la punta del iceberg. “Además de cuidarse de BlueKeep, los administradores de TI deben prestar mayor atención a RDP en general porque, como lo demuestra nuestra investigación de Sophos, los ciberdelincuentes están ocupados investigando todas las computadoras potencialmente vulnerables expuestas por RDP 24/7 con ataques de adivinación de contraseña”.
La nueva investigación de RDP de Sophos destaca cómo los atacantes pueden encontrar dispositivos habilitados para RDP casi tan pronto como estos dispositivos aparecen en Internet. Para demostrarlo, Sophos implementó 10 honeypots [1] geográficamente dispersos y de baja interacción para medir y cuantificar los riesgos basados en RDP.
Los principales hallazgos de la investigación muestran que
? Los 10 honeypots recibieron su primer intento de inicio de sesión de RDP en un día.
? Remote Desktop Protocol expone las PC en solo 84 segundos.
? Los 10 honeypots de RDP registraron un total de 4.298.513 intentos fallidos de inicio de sesión durante un período de 30 días. Esto es aproximadamente un intento cada seis segundos.
? En general, la industria cree que los cibercriminales están usando sitios como Shodan para buscar fuentes abiertas de RDP, sin embargo, la investigación de Sophos destaca cómo los cibercriminales tienen sus propias herramientas y técnicas para encontrar fuentes abiertas de RDP y no necesariamente confían solo en sitios de terceros para encontrar acceso.

Comportamientos de los hackers
Sophos ha identificado patrones de ataque, basados en la investigación. Esto incluye tres perfiles principales / características de ataque: ram (carnero), swarm (enjambre) y hedgehog (erizo):
• Ram: es una estrategia diseñada para descubrir una contraseña de administrador. Un ejemplo de la investigación es que en el transcurso de 10 días, un atacante realizó 109,934 intentos de inicio de sesión en el honeypot irlandés utilizando solo tres nombres de usuario para obtener acceso
• Swarm es una estrategia que utiliza nombres de usuario secuenciales y un número finito de las peores contraseñas. Un ejemplo de la investigación fue visto en París con un atacante que usaba el nombre de usuario ABrown nueve veces en el transcurso de 14 minutos, seguido de nueve intentos con el nombre de usuario BBrown, luego CBrown, seguido de DBrown, y así sucesivamente. El patrón se repitió con A.Mohamed, AAli, ASmith y otros.
• Hedgehog: erizo se caracteriza por ráfagas de actividad seguidas de largos períodos de inactividad. Un ejemplo en Brasil vio cada pico generado por una dirección IP, duró aproximadamente cuatro horas y consistió en entre 3,369 y 5,199 conjeturas de contraseña
Boddy explica qué significa el alcance de esta exposición de RDP para las empresas: “En la actualidad, hay más de tres millones de dispositivos accesibles a través de RDP en todo el mundo y ahora es el punto de entrada preferido por los ciberdelincuentes. Sophos ha estado hablando sobre cómo los criminales que implementan ransomware específicos como BitPaymer, Ryuk, Matrix y SamSam han abandonado casi por completo otros métodos utilizados para ingresar en una organización reemplazándolos, simplemente, por forzar las contraseñas de RDP. Todos los honeypots fueron descubiertos en unas pocas horas, solo porque fueron expuestos a internet a través de RDP. Lo fundamental es reducir el uso de RDP siempre que sea posible y garantizar que la mejor práctica de contraseña esté vigente en toda la organización. Las empresas deben actuar en consecuencia para implementar el protocolo de seguridad adecuado para protegerse contra los atacantes implacables”.

###
El RDP Expuesto: La Amenaza Que Ya Está En Tu Puerta. También puede encontrar comentarios sobre los hallazgos en Sophos Naked Security en un artículo llamado RDP Exposed: Los lobos ya están a tu puerta.

________________________________________
[1] Los honeypots eran instancias de Amazon EC2 que ejecutaban Windows Server 2019 con una configuración no modificada y lista para usar que habilita RDP de forma predeterminada. Cada instancia de EC2 se implementó en un centro de datos regional diferente y los intentos fallidos de inicio de sesión se capturaron en una base de datos centralizada durante un período de 30 días entre el 18 de abril de 2019 y el 19 de mayo de 2019.

Agregar un comentario