Acceso remoto en riesgo: la pandemia atrae a más delincuentes cibernéticos al juego de la fuerza bruta


El acceso remoto mal asegurado atrae principalmente pandillas de ransomware, pero también puede proporcionar acceso a mineros de monedas y puertas traseras

La pandemia de COVID-19 ha cambiado radicalmente la naturaleza del trabajo diario, obligando a los empleados a realizar gran parte de su trabajo a través del acceso remoto. Los ciberdelincuentes, especialmente los operadores de ransomware, son conscientes del cambio e intentan explotar las nuevas oportunidades y aumentar sus ganancias ilícitas. La telemetría de ESET confirma esta tendencia en un aumento en el número de clientes únicos que informaron intentos de ataque de fuerza bruta bloqueados a través de la tecnología de detección de ataques de crimson de ESET.

Antes del cierre, la mayoría de los empleados trabajaban desde la oficina y usaban infraestructura monitoreada y controlada por su departamento de TI. Pero la pandemia de coronavirus ha traído un cambio importante al standing quo. Hoy, una gran proporción del trabajo de «oficina» se realiza a través de dispositivos domésticos con trabajadores que acceden a sistemas confidenciales de la empresa a través del Protocolo de escritorio remoto (RDP) de Home windows, una solución patentada creada por Microsoft para permitir la conexión a la crimson corporativa desde computadoras remotas.

A pesar de la creciente importancia de RDP (así como de otros servicios de acceso remoto), las organizaciones a menudo descuidan su configuración y protección. Los empleados usan contraseñas fáciles de adivinar y sin capas adicionales de autenticación o protección, hay poco que pueda evitar que los delincuentes cibernéticos comprometan los sistemas de una organización.

Esa es probablemente también la razón por la cual RDP se ha convertido en un vector de ataque tan preferred en los últimos años, especialmente entre las pandillas de ransomware. Estos ciberdelincuentes suelen abrirse paso por la fuerza bruta en una red mal asegurada, elevar sus derechos a nivel de administrador, deshabilitar o desinstalar soluciones de seguridad y luego ejecutar ransomware para cifrar datos cruciales de la compañía.

El creciente número de clientes únicos que informaron un intento de ataque RDP es noticeable en los datos recopilados por la telemetría de ESET (consulte la Figura 1).

Figura 1. Tendencia de los intentos de ataque RDP contra clientes únicos (por día), detectados por las tecnologías ESET

Protección contra ataques de fuerza bruta

Para abordar los crecientes riesgos que plantea el aumento del uso de RDP, los investigadores de ESET han ideado una nueva capa de detección que está oculta bajo el capó de ESET Network Assault Security y está diseñada para bloquear los ataques de fuerza bruta entrantes de direcciones IP externas, que cubren RDP y Protocolos SMB.

Llamada ESET Brute-Pressure Attack Protection, esta nueva capa detecta grupos de intentos fallidos de inicio de sesión desde entornos externos, lo que sugiere un ataque de fuerza bruta entrante, y luego bloquea más intentos. Posteriormente, los mayores delincuentes entre estas direcciones IP se agregan a una lista negra, que protege a millones de dispositivos de futuros ataques.

La nueva tecnología ha demostrado ser efectiva contra ataques aleatorios y dirigidos. Para que funcione correctamente, la opción RDP La autenticación de nivel de red (NLA) en el servidor debe estar habilitada.

Según la telemetría de ESET, la mayoría de los obstruido Los IP en enero-mayo de 2020 se vieron en los Estados Unidos, China, Rusia, Alemania y Francia (ver Figura 2).

Figura 2. Países con el mayor número de direcciones IP bloqueadas (entre el 1 de enero y el 31 de mayo de 2020).

Países que tenían la mayor proporción de dirigido Los PI fueron Rusia, Alemania, Japón, Brasil y Hungría (ver Figura 3).

Figura 3. Países con la mayoría de los ataques de fuerza bruta informados por la telemetría de ESET (entre el 1 de enero y el 31 de mayo de 2020).

Cómo configurar el acceso remoto correctamente

Sin embargo, incluso con medidas de protección como ESET Brute-Pressure Assault Safety, las organizaciones deben mantener su acceso remoto configurado correctamente:

  • Deshabilitar RDP con conexión a world-wide-web. Si eso no es posible, minimice la cantidad de usuarios que pueden conectarse directamente a los servidores de la organización a través de World wide web.
  • Requerir contraseñas seguras y complejas para todas las cuentas que se pueden iniciar sesión a través de RDP.
  • Use una capa adicional de autenticación (MFA / 2FA)
  • Instalar una crimson privada digital (VPN) puerta de enlace para intermediar todas las conexiones RDP desde fuera de su crimson nearby.
  • En el firewall perimetral, no permita conexiones externas a máquinas locales en el puerto 3389 (TCP / UDP) o cualquier otro puerto RDP.
  • Proteja su software program de seguridad de endpoint contra alteraciones o desinstalaciones protegiendo con contraseña su configuración.
  • Aísle cualquier computadora insegura u obsoleta a la que deba accederse desde Net utilizando RDP y reemplácela lo antes posible.
  • Para obtener una descripción detallada de cómo configurar su conexión RDP correctamente, consulte Este artículo por el investigador distinguido de ESET Aryeh Goretsky.
  • La mayoría de estas mejores prácticas se aplican también a FTP, SMB, SSH, SQL, TeamViewer, VNC y otros servicios.

Ransomware, mineros de monedas y puertas traseras

El cifrado de datos y la posterior extorsión no es el único escenario que podría seguir a un compromiso RDP. Con frecuencia, los atacantes intentan instalar malware de extracción de monedas o crear una puerta trasera, que se puede usar en caso de que se haya identificado y cerrado su acceso RDP no autorizado.

Otros escenarios comunes después de un compromiso RDP pueden incluir:

  • borrado de archivos de registro, eliminando así la evidencia de actividad maliciosa previa,
  • descargando y ejecutando la elección del atacante de herramientas y malware en el sistema comprometido,
  • deshabilitar las copias de seguridad programadas y las instantáneas o borrarlas por completo, o
  • extrayendo datos del servidor.

Los sombreros negros han estado tratando de explotar RDP durante años, según lo documentado por nuestro blog de 2013. Un número cada vez mayor de ataques de PDR en los últimos años se ha convertido en el tema de numerosas advertencias gubernamentales, incluidas las FBI, el Reino Unido NCSC y de Australia ACSC.

Esto solo demuestra cuán essential se ha convertido la seguridad del acceso remoto, que potencialmente puede hacer o deshacer el futuro de una empresa. E incluso si el daño a la reputación de una organización se puede gestionar, hay pérdidas financieras, operaciones estancadas y costosos esfuerzos de recuperación que deben tenerse en cuenta. Esto no considera los costos adicionales de posibles sanciones que pueden emitir las autoridades en virtud de la legislación de protección de datos como GDPR (UE), CCPA (California) o NDB (Australia).

Ya sea que haya una pandemia o no, las empresas deben gestionar los riesgos que plantea el uso generalizado de RDP u otros servicios similares reforzando sus contraseñas y agregando otras capas protectoras, incluida la autenticación multifactor y una solución de seguridad que defiende contra ataques basados ​​en RDP y protocolos similares








Enlace a la noticia initial