Investigación

Primavera remota: el aumento de los ataques de fuerza bruta contra RDP

Con la propagación del COVID-19, las organizaciones de todo el mundo han optado por que sus empleados trabajen de forma remota, lo que ha afectado directamente a la ciberseguridad de las organizaciones y ha cambiado el escenario de las amenazas.

Junto con el aumento del tráfico corporativo, el uso de servicios de terceros para compartir datos, el trabajo de los empleados con equipos domésticos (en redes Wi-Fi potencialmente inseguras), uno de los “dolores de cabeza” de los empleados de seguridad informática ha sido el aumento del número de personas que usan instrumentos de acceso remoto.

Uno de los protocolos de nivel de aplicación más populares que permite el acceso a una estación de trabajo o servidor que ejecuta un sistema operativo Windows es el protocolo propietario de Microsoft, RDP. Durante el confinamiento, apareció en Internet una gran cantidad de equipos y servidores que aceptan conexiones remotas, y en este momento vemos un aumento en la actividad de los ciberatacantes que desean aprovechar la situación actual y atacar los recursos corporativos abiertos (a veces apresuradamente) a los empleados “remotos”.

Desde principios de marzo, el número de ataques Bruteforce.Generic.RDP ha aumentado de forma espectacular y la situación es idéntica en casi todo el mundo:

Ejemplo del aumento del número de ataques realizados por la familia Bruteforce.Generic.RDP, febrero a abril de 2019 (descargar)

Los ataques de este tipo son intentos para averiguar el inicio de sesión y la contraseña de RD, probando sistemáticamente todas las opciones posibles hasta encontrar la correcta. Puede probar tanto las combinaciones de caracteres, como un diccionario de contraseñas populares o comprometidas. Si el ataque tiene éxito, permite al atacante obtener acceso remoto al equipo de destino.

Los atacantes no actúan puntualmente, sino que trabajan sobre áreas completas. Suponemos que después de la transición generalizada de las empresas al trabajo desde casa, los ciberatacantes llegaron a la conclusión lógica de que la cantidad de servidores RDP mal configurados aumentaría, al igual que el número de ataques.

Es probable que los ataques a la infraestructura relacionada con el acceso remoto (así como a los diversos servicios utilizados para el trabajo conjunto) no se detengan en el futuro próximo. Por lo tanto, si utiliza RDP en el trabajo, debe tomar todas las medidas de protección posibles:

  • Como mínimo, use contraseñas que sean difíciles de averiguar;
  • Procure que RDP esté disponible solo a través de una VPN corporativa;
  • Use Network Level Authentication (NLA);
  • Si es posible, habilite la autenticación de dos factores;
  • Si no usa RDP, desactívelo y cierre el puerto 3389;
  • Use una solución confiable de protección.

Si utiliza otras herramientas de acceso remoto en lugar de RDP, esto no significa que pueda despreocuparse: a fines del año pasado, los expertos de Kaspersky Lab encontraron 37 vulnerabilidades en diferentes clientes que funcionan con el protocolo VNC, que se usa para obtener acceso remoto, al igual que RDP.

Las empresas deben vigilar de cerca los programas utilizados y actualizarlos a tiempo en todos los dispositivos empresariales. En este momento, no es la tarea más fácil para muchas empresas, ya que la transferencia apresurada de empleados al teletrabajo ha obligado a muchas a permitir que los empleados trabajen o se conecten a los recursos de la compañía desde sus equipos domésticos, que a menudo no cumplen con los estándares corporativos de ciberseguridad. En este sentido, recomendamos:

  • Capacitar a los empleados en los fundamentos de la seguridad digital.
  • Usar diferentes contraseñas complejas para el acceso a diferentes recursos corporativos;
  • Actualizar todo el software en los dispositivos de los empleados a las versiones más recientes;
  • Si es posible, utilizar el cifrado en los dispositivos que se utilizan para tareas de trabajo;
  • Hacer copias de seguridad de los datos más importantes;
  • Instalar en todos los dispositivos de los empleados soluciones de seguridad y soluciones que permitan rastrear el equipo en caso de pérdida.

Primavera remota: el aumento de los ataques de fuerza bruta contra RDP

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada