Getty Images

Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Ciberatacantes están explotando RDP cada vez más, advierte el FBI

Las empresas deben actuar para reducir la probabilidad de compromiso por ciberataques que explotan el protocolo de escritorio remoto, advierte el FBI.

El uso de RDP (siglas en inglés del protocolo de escritorio remoto) crea riesgos porque tiene la capacidad de controlar una computadora de forma remota, por lo que su uso debe estar estrechamente regulado, monitoreado y controlado, según el FBI y el Departamento de Seguridad Nacional de los EE.UU.

Los ciberactores malintencionados han desarrollado métodos para identificar y explotar las sesiones de RDP vulnerables en internet para comprometer identidades, robar credenciales de inicio de sesión y datos de rescate, dijeron las dos agencias estadounidenses en un anuncio conjunto de servicio público.

El uso de herramientas de administración remota, como RDP, como un vector de ataque ha ido en aumento desde mediados hasta finales de 2016 con el auge de los mercados oscuros que venden herramientas para el acceso a RDP.

RDP es cada vez más popular entre los atacantes cibernéticos porque le permite a una persona controlar los recursos y datos de una computadora a través de internet.

Los actores cibernéticos pueden infiltrarse en la conexión entre las máquinas e inyectar malware o ransomware en el sistema remoto, y como los ataques que usan RDP no requieren la intervención del usuario, las intrusiones son difíciles de detectar.

Las vulnerabilidades incluyen contraseñas débiles que permiten a los atacantes iniciar conexiones RDP, versiones desactualizadas de RDP con mecanismos de cifrado débiles que permiten ataques de intermediario, permitiendo el acceso sin restricciones al puerto RDP predeterminado (3389) y permitiendo intentos ilimitados de inicio de sesión a una cuenta de usuario.

Las amenazas incluyen ransomware como CrySiS, que se dirige a las empresas a través de puertos RDP abiertos; CryptON, que usa ataques de fuerza bruta para obtener acceso a las sesiones de RDP; y Samsam, que utiliza una amplia gama de ataques, incluidos los que atacan a máquinas habilitadas para RDP, para realizar ataques de fuerza bruta.

En julio de 2018, los actores de amenazas de Samsam utilizaron un ataque de fuerza bruta en las credenciales de inicio de sesión de RDP para infiltrarse en una compañía de atención médica y cifrar miles de máquinas antes de la detección, dijo la alerta del FBI/DSN.

También se sabe que los actores de amenazas compran y venden credenciales de inicio de sesión de RDP robadas en la web oscura, donde el valor de las credenciales se determina por la ubicación de la máquina comprometida, el software utilizado en la sesión y cualquier atributo adicional que incremente la facilidad de uso de los recursos robados.

En agosto de 2018, los investigadores de la firma de seguridad Cybereason informaron que un honeypot diseñado para parecerse a una subestación de transmisión de energía de un proveedor de electricidad se descubrió en dos días y se preparó para su venta como activo en la red oscura a otra entidad criminal utilizando la herramienta xDedic RDP Patch.

La herramienta permite que una víctima y un atacante utilicen las mismas credenciales para iniciar sesión en una máquina simultáneamente utilizando RDP, lo que de otro modo sería imposible debido a las restricciones de seguridad incorporadas en las últimas versiones.

Los incidentes diarios de RDP se dispararon en mayo, con los atacantes en busca de copias de seguridad en la mayoría de los casos, según un informe sobre actividad maliciosa en el segundo trimestre de 2018 de la firma de seguridad Rapid 7.

El informe dijo que hay un nivel constante de actividad con RDP en el segundo trimestre con picos de actividad, como uno en mayo que vio más de un millón de sondeos.

"El monitoreo de la actividad de fuerza bruta, la autenticación sospechosa de varios países y la autenticación de múltiples organizaciones ayuda a identificar este tipo de actividad, y la implementación de la autenticación de múltiples factores y el monitoreo de las credenciales filtradas pueden ayudar a las organizaciones a protegerse activamente de estas amenazas", señaló el informe.

Comprender las exposiciones es otro aspecto crítico para combatir las amenazas, dijo el informe de Rapid 7, señalando que el RDP expuesto externamente, incluso por un corto período de tiempo, puede tener un efecto devastador en una organización, como lo demostraron varios de los ataques de ransomware habilitados por RDP en el segundo trimestre.

Para protegerse contra los ataques basados en RDP, el FBI y el DSN recomiendan que las empresas:

  • Auditen las redes para los sistemas que utilizan RDP para la comunicación remota y desactiven el servicio si no es necesario o instalen los parches disponibles.
  • Verifiquen que todas las instancias de máquinas virtuales basadas en la nube con una IP pública no tengan puertos RDP abiertos, específicamente el puerto 3389, a menos que haya una razón comercial válida para hacerlo.
  • Coloquen cualquier sistema con un puerto RDP abierto detrás de un firewall y exija a los usuarios que usen una red privada virtual (VPN) para acceder a él a través del firewall.
  • Habiliten contraseñas seguras y políticas de bloqueo de cuenta para defenderse de los ataques de fuerza bruta.
  • Apliquen la autenticación de dos factores cuando sea posible.
  • Apliquen actualizaciones de sistema y software con regularidad.
  • Mantengan una buena estrategia de respaldo.
  • Habiliten el registro y se aseguren de que los mecanismos de registro capturen los inicios de sesión de RDP. Mantenga registros durante un mínimo de 90 días y revíselos periódicamente para detectar intentos de intrusión.
  • Al crear máquinas virtuales basadas en la nube, respeten las mejores prácticas del proveedor de la nube para el acceso remoto.
  • Se aseguren de que los terceros que requieren acceso a RDP estén obligados a seguir las políticas internas sobre acceso remoto.
  • Minimicen la exposición a la red para todos los dispositivos del sistema de control y, cuando sea posible, desactiven RDP para dispositivos críticos.
  • Regulen y limiten las conexiones RDP externas a internas. Cuando se requiera acceso externo a recursos internos, utilicen métodos seguros, como VPN.

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close