Los cibercriminales explotan activamente el PDR para atacar organizaciones remotas


La pandemia de COVID-19 ha llevado a muchas empresas a permitir que sus empleados trabajen de forma remota y, en una gran cantidad de casos, a escala worldwide. Un componente clave para habilitar el trabajo remoto y permitir que los empleados accedan a los recursos corporativos internos de forma remota es el Protocolo de escritorio remoto (RDP), que permite la comunicación con un sistema remoto. Para mantener la continuidad del negocio, es muy possible que muchas organizaciones pusieran los sistemas en línea rápidamente con mínimas comprobaciones de seguridad, lo que brinda a los atacantes la oportunidad de ingresar con facilidad.

RDP es un protocolo de Microsoft que se ejecuta en el puerto 3389 que pueden utilizar los usuarios que requieren acceso remoto a sistemas internos. La mayoría de las veces, RDP se ejecuta en servidores Windows y aloja servicios como servidores website o servidores de archivos, por ejemplo. En algunos casos, también está conectado a sistemas de management industrial.

Los puertos RDP a menudo están expuestos a Online, lo que los hace particularmente interesantes para los atacantes. De hecho, acceder a un cuadro RDP puede permitir que un atacante acceda a una crimson completa, que generalmente se puede usar como punto de entrada para propagar malware u otras actividades delictivas.

Como puede ser un vector de entrada tan poderoso, McAfee Highly developed Risk Study (ATR) ha observado que surgen muchos mercados subterráneos, ofreciendo credenciales RPD a un costo relativamente bajo. Por ejemplo, McAfee ATR descubrió el acceso vinculado a un aeropuerto internacional importante que se podía comprar por solo US $ 10. Desde marzo de 2020, el número de puertos RDP expuestos ha aumentado considerablemente.

McAfee Highly developed Threat Study y la industria de la seguridad han sido conscientes del riesgo de RDP expuesto durante muchos años y continuarán creando conciencia como parte de nuestro monitoreo worldwide de amenazas.

En este blog, discutiremos los riesgos de exponer el protocolo RDP y las configuraciones erróneas asociadas.

RDP Statistics

El número de puertos RDP expuestos a Online ha crecido rápidamente, de aproximadamente tres millones en enero de 2020 a más de cuatro millones y medio en marzo. Una basic búsqueda en Shodan revela la cantidad de puertos RDP expuestos a Online por país.

Es interesante observar que la cantidad de sistemas RDP expuestos es mucho mayor para China y los Estados Unidos.

La mayoría de los sistemas comprometidos que usan RDP ejecutan Home windows Server, pero también notamos otros sistemas operativos, como Windows 7.

Para los atacantes, el acceso a un sistema remoto puede permitirles realizar varias acciones criminales como:

  • Difusión de spam: Usar un sistema legítimo para enviar spam es muy conveniente. Algunos sistemas se venden especialmente para este propósito.
  • Difusión de malware: Un sistema comprometido proporciona una máquina lista para usar para distribuir fácilmente el malware, o incluso pivotar a la purple interna. Muchos autores de ransomware usan este vector para apuntar a organizaciones de todo el mundo. Otra opción legal sería implantar un criptominer.
  • Usando la caja comprometida como propia: Los ciberdelincuentes también usan sistemas remotamente comprometidos para ocultar sus pistas compilando sus herramientas en la máquina, por ejemplo.
  • Abuso: El sistema remoto también se puede utilizar para llevar a cabo fraudes adicionales, como el robo de identidad o la recopilación de información private.

Este reciente aumento en el número de sistemas que utilizan RDP a través de Net también ha influido en la clandestinidad. McAfee ATR ha notado un aumento tanto en el número de ataques contra puertos RDP como en el volumen de credenciales RDP vendidas en mercados subterráneos.

Como se observó en Shodan, el número de sistemas expuestos es mayor para China (37% del total) y los Estados Unidos (37% del whole), por lo que es interesante observar que el número de credenciales de PDR robadas de los EE. UU. (4% del complete) para la venta es comparativamente mucho más bajo que otras naciones. Creemos que esto puede deberse a que los actores detrás del mercado a veces retienen las credenciales de RDP sin publicar su lista completa.

¿Cómo atacan los atacantes los sistemas remotos?

Las contraseñas débiles siguen siendo uno de los puntos de entrada comunes. Los atacantes pueden usar fácilmente los ataques de fuerza bruta para obtener acceso. En la imagen de abajo vemos las 20 contraseñas más utilizadas en RDP. Creamos esta lista basada en información sobre contraseñas débiles compartidas por una agencia de aplicación de la ley amiga de tiendas RDP derribadas.

El siguiente diagrama muestra la cantidad de sistemas comprometidos que utilizan las 10 contraseñas principales. Lo más sorprendente es la gran cantidad de sistemas RDP vulnerables que ni siquiera tenían una contraseña.

El protocolo RDP también sufre vulnerabilidades y necesita parches. El año pasado, explicamos en detalle el funcionamiento de la vulnerabilidad BlueKeep que afecta al canal reservado 31, que es parte de la funcionalidad del protocolo, para permitir la ejecución remota de código.

https://www.mcafee.com/weblogs/other-blogs/mcafee-labs/rdp-stands-for-truly-do-patch-knowing-the-wormable-rdp-vulnerability-cve-2019-0708/

A principios de enero, también se corrigieron fallas adicionales relacionadas con Distant Desktop Gateway:

Estas dos vulnerabilidades son similares a la vulnerabilidad de BlueKeep y permiten la ejecución remota de código enviando una solicitud especialmente diseñada. Todavía no hemos observado esta vulnerabilidad explotada en la naturaleza.

Para asegurar el protocolo RDP, la siguiente lista de verificación puede ser un buen punto de partida:

  • No permita conexiones RDP a través de World-wide-web abierto
  • Use contraseñas complejas, así como autenticación de múltiples factores
  • Bloquee a los usuarios y bloquee o agote las IP que tienen demasiados intentos fallidos de inicio de sesión
  • Use una puerta de enlace RDP
  • Limitar el acceso a la cuenta de administrador de dominio
  • Minimiza la cantidad de administradores locales
  • Use un firewall para restringir el acceso
  • Habilitar el modo de administrador restringido
  • Habilitar la autenticación de nivel de red (NLA)
  • Asegúrese de que las cuentas de administrador community sean únicas y restrinja a los usuarios que pueden iniciar sesión con RDP
  • Considere la ubicación dentro de la red
  • Considere usar una convención de nomenclatura de cuentas que no revele información de la organización

Para obtener más detalles sobre cómo asegurar el acceso RDP, puede consultar nuestro blog site anterior (https://www.mcafee.com/weblogs/other-weblogs/mcafee-labs/rdp-safety-described/)

Conclusión

Como discutimos, RDP sigue siendo uno de los vectores más utilizados para penetrar en las organizaciones. Para los atacantes, esta es una solución uncomplicated para realizar rápidamente actividades maliciosas como malware, propagación de spam u otros tipos de delitos.

Actualmente hay un negocio completo alrededor de RDP en el mercado subterráneo y la situación actual ha amplificado este comportamiento. Para mantenerse protegido, es esencial seguir las mejores prácticas de seguridad, comenzando por lo básico, como el uso de contraseñas seguras y la vulnerabilidad de parches.

McAfee ATR está monitoreando activamente las amenazas y continuará actualizándolo en este website y sus canales de redes sociales.





Enlace a la noticia initial