11 ago 2019

Ataque de ransomware vía RDP afecta a las PYMES

Sophos ha lanzado un nuevo estudio, El RDP Expuesto: La amenaza que ya está en tu puerta [PDF], que desvela cómo los cibercriminales están intentando atacar a las empresas de forma constante mediante el uso del protocolo de escritorio remoto (RDP, por sus siglas en inglés).

El protocolo RDP es utilizado habitualmente para conectarse de forma remota a los escritorios de oficinas, por lo que se ha convertido en un vector de ataque atractivo para los ciberdelincuentes y que puede causar la parálisis de una PYME con una alarmante facilidad.
La siguiente imagen es una búsqueda de escritorios remotos en Shodan. Como podemos ver, Shodan nos devuelve casi 5 millones de resultados, lo que no quiere decir que todas ellas tengan RDP activo, el grueso de la búsqueda solo serán dispositivos con el puerto 3389 abierto, pero podemos intuir que hay un gran número de posibles víctimas, y muchas de ellas pertenecerán a empresas y organizaciones que pueden quedar paralizadas si sus datos son comprometidos.

¿Cómo explotan los cibercriminales RDP?

Existen dos vectores de ataque distintos, hemos visto ataques que explotan vulnerabilidades en RDP y que son algo más sofisticados pero la gran mayoría de las intrusiones en los sistemas que utilizan este protocolo se han llevado a cabo utilizando fuerza bruta para romper contraseñas débiles, o mucho más fácil, buscar las contraseñas en BBDD leakeadas.

Una vez que los atacantes tienen acceso al equipo de la víctimas solo tienen que desactivar manualmente el antivirus que se esté utilizando e instalar el software de rescate para infectar el equipo.

Los resultados de un ataque de ransomware pueden resultar devastadores para las PYMES pero no solo afecta al pequeño comercio, se han dado casos de hospitales que han sido infectados y han tenido que pagar el rescate para poder tener acceso a sus archivos.

En el último año grupos como Matrix y SamSam han ido abandonando los distintos vectores de ataque para dedicarse casi por completo a la infección por RDP. Como ya vimos en este mismo blog el pasado 31 de mayo, más de 1 millón de máquinas eran vulnerables a BlueKeep (CVE-2019-0708), lo que podría desencadenar un "brote de ransomware por todo el mundo en cuestión de horas" según Matt Boddy, experto en seguridad de Sophos.

Según explicó Matt, en la actualidad hay más de 3 millones de dispositivos vulnerables a ataques por RPD, se ha estado informando sobre cómo todos los honeypots fueron descubiertos en pocas horas para su explotación, tan solo porque estaban expuesto en Internet.

La conclusión que nos aportaba era la de reducir el uso del protocolo RDP siempre que sea posible y utilizar contraseñas robustas que dificulten los ataques por fuerza bruta. Todas las empresas deben actuar en consecuencia e implementar protocolos de seguridad que ayuden a minimizar el riesgo y la exposición para protegerse contra estos cibercriminales.

Fuente: Hispasec | Sophos

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!