ALFA+

El ransomware se propaga a través de credenciales de escritorio remoto



Resultado de imagen para El ransomware se propaga a través de credenciales de escritorio remoto

Las credenciales de escritorio remoto robadas o deficientes son habitualmente utilizadas para infectar sistemas de punto de venta con malware, pero recientemente también se han convertido en un método de distribución común de ransomware para cifrar archivos.

El pasado mes de marzo un grupo de investigadores descubrieron un programa de ransomware apodado “Sorpresa” que estaba siendo instalado a través de credenciales robadas de TeamViewer, una popular herramienta de administración remota.

No obstante, esta tendencia comenzó en 2015 cuando algunas variantes de ransomware fueron distribuidas mediante ataques de fuerza bruta contra el protocolo de escritorio remoto (RDP, por sus siglas en inglés).

Si bien este método de infección fue utilizado al principio por programas de ransomware relativamente oscuros, recientemente ha sido adoptado por un gran número de ciberdelincuentes y se ha incluido entre las familias de ransomware extendidas, como Crysis, un peligroso virus que infecta el ordenador y bloquea los archivos.

RDP: un objetivo fácil

A los adversarios les gusta apuntar a RDP porque el protocolo es fácil de usar y ofrece una oportunidad para el control completo de los sistemas comprometidos. Es importante destacar que le da a los atacantes acceso a un sistema a través de un protocolo que se usa comúnmente para fines legítimos, por lo que es más difícil para los defensores detectar actividad maliciosa.

"Hay una tendencia clara hacia la automatización de los servidores RDP de orientación a través de software de fuerza bruta y herramientas diseñadas para permitir que un gran número de servidores sean controlados simultáneamente”. El acceso a los servidores se vende en los mercados de ciberdelincuentes, y es posible buscarlos por tipo de servidor dedicado y su geolocalización.

 Para mitigar la exposición a ataques basados en RDP, conviene considerar las siguientes medidas.

1. Usa contraseñas seguras

Utiliza siempre nombres de usuario y contraseñas fuertes para el acceso RDP. Las contraseñas deben ser robustas, largas y seguras, Habilite la autenticación de dos factores, especialmente para cuentas administrativas y oculte el acceso que tenga asociado con una VPN.

2. Restringe los accesos en base a los roles

Las organizaciones deben limitar la cantidad de usuarios que tienen acceso de administrador a las consolas RDP. También limite los privilegios de los usuarios que tienen dicho acceso. "El control de acceso granular basado en roles ayudará a minimizar el daño que los atacantes pueden causar después tras entrar".

3. Habilite la Autenticación de nivel de red (NLA) para RDP

Network Level Authentication ofrece una capa adicional de protección. Cuando está habilitado, un usuario que intenta conectarse a un sistema remoto a través de RDP necesitará autenticar su identidad en primer lugar, antes de que se establezca una sesión. "No desactive la autenticación de nivel de red, ya que ofrece un nivel de autenticación adicional.

4. Cambiar el puerto RDP

Servicios como Shodan hacen que sea fácil para los atacantes encontrar sistemas expuestos a Internet que ejecuten RDP. Cambiar su puerto RDP asegura que los programas que habitualmente escanean estos puertos que buscan RDP abiertos, no serán encontrados, "Por defecto, el servidor escucha en el puerto 3389, tanto para TCP como para UDP".

5. Mantenga un registro de los servidores RDP

Sepa qué sistemas en su entorno tienen habilitado RDP. Asegúrese de que no haya servidores RDP no autorizados en su red, especialmente todo lo que esté conectado directamente a Internet. Considere habilitar el registro y la supervisión en los registros del servidor RDP para saber quién los utiliza.

7. Responde ante síntomas iniciales

Es necesario tener mecanismos para detectar un ataque RDP y detenerlo rápidamente. Por ejemplo, considere implementar herramientas de seguridad que puedan detectar intentos de inicio de sesión repetidos en un sistema RDP. Guárdese un as en la manga para detectar aquellos accesos sospechosos que intentan iniciar sesión desde una IP extraña o lugares geográficos remotos.

"Las organizaciones deben ser conscientes de que los malhechores atacarán su infraestructura de RDP, no solo para intentar llevar a cabo acciones de ransomware o criptominería, sino también como parte de ataques dirigidos. "RDP es una gran herramienta para el acceso remoto, tanto para el uso autorizado de los empleados, como para los ciberatacantes".

Por último, es interesante contar con programas y herramientas de seguridad, ya no sólo para protegerse de ransomware, y ataques dirigidos vía RDP, sino de cualquier tipo de amenaza.

Por eso te invitamos a que consultes por nuestros planes de ciberseguridad, sac@alfa.com.ni, soporte@alfa.com.ni que te ayudaran a estar protegidos de las diferentes amenazas que existen en la red.


ALFA+