Aumentan los ataques de fuerza bruta RDP debido al trabajo remoto
Los atacantes apuntan cada vez más a los recursos corporativos utilizados por los empleados que ahora se han mudado al trabajo desde su casa. Esto debido a las órdenes de encierro y refugio en casa emitidas durante la pandemia en curso.
Una solución muy popular para acceder a dispositivos empresariales de forma remota es el Protocolo de escritorio remoto (RDP). Este permite a los trabajadores remotos acceder a sus estaciones de trabajo o servidores Windows desde casa.
Sin embargo, muchos de los servidores RDP utilizados para ayudar a los teletrabajadores están directamente expuestos a Internet. Cuando estos están mal configurados, exponen la red de la organización a ataques.
Enorme crecimiento en la cantidad de ataques de fuerza bruta
Como se detalla en un informe publicado por investigadores de seguridad de Kaspersky, casi todos los países han visto un tremendo crecimiento en el número de ataques de fuerza bruta. Estos han sido lanzados por actores de amenazas contra servicios expuestos de RDP desde principios de marzo de 2020.
En este tipo de ataque, las herramientas automatizadas se utilizan para ingresar combinaciones de nombres de usuario y contraseñas. Estas las extraen de listas de credenciales previamente comprometidas, generadas al azar en el acto, o de credenciales de diccionarios.
Una vez que los atacantes adivinan con éxito la combinación correcta, obtienen acceso completo a la máquina objetivo. Después, por lo general, utilizan este acceso para robar información confidencial, implantar malware o moverse lateralmente dentro de la red de la organización. Todas estas acciones con el fin de encontrar objetivos más valiosos.
“Los atacantes de fuerza bruta no son quirúrgicos en su enfoque, sino que operan por área”, dijeron los investigadores.
“Hasta donde sabemos, después de la transición masiva al trabajo en el hogar, concluyeron lógicamente que aumentaría el número de servidores RDP mal configurados. Este es el motivo del aumento en el número de ataques”.
En los Estados Unidos, por ejemplo, el número de ataques de fuerza bruta contra servidores RDP con conexión a Internet aumentó de 200,000 por día. El aumento creció desde principios de marzo a más de 1,200,000 a mediados de abril.
Según las estadísticas de BinaryEdge y Shodan, actualmente, más de 4,500,000 dispositivos están exponiendo RDP a Internet.
Sin embargo, a pesar del creciente número de ataques de fuerza bruta contra los servicios RDP de Internet y la gran cantidad de nuevos trabajadores remotos, Censys dijo a principios de abril que “no ha habido un aumento de los servidores RDP expuestos a Internet. Esto más allá del flujo y reflujo normal o tráfico normal de Internet “.
Esta tendencia puede explicarse fácilmente por los intentos oportunistas de aprovechar lo que los atacantes ven como un mayor vector de ataque. Ataques contra las empresas que deben proporcionar a sus empleados acceso remoto a los recursos de TI corporativos.
Objetivos favoritos de los grupos de ransomware
Los ataques dirigidos a los servicios RDP han aumentado desde mediados de 2016, comenzando con el aumento de la popularidad de los mercados de la web oscura. Estos sitios venden acceso RDP a redes y dispositivos comprometidos según un informe de IC3 de 2018.
En 2017, por ejemplo, más de 85,000 servidores RDP estaban disponibles para la venta o alquiler a través de xDedic. Este es un mercado web ilegal donde los servidores hackeados se vendían por un precio promedio de $ 6.
Los ataques de fuerza bruta contra servidores con puertos RDP abiertos también se están utilizando como el vector de ataque inicial en los ataques de ransomware. Los ejemplos más recientes son los operadores de los grupos de ransomware Dharma y DoppelPaymer que están usando fuerza bruta hacia las empresas expuestas. Configuraron servidores RDP para desplegar sus payloads.
Estos dos grupos de ransomware iniciaron la búsqueda de otros servidores RDP en la misma red de acuerdo con un informe de Microsoft del mes pasado. Se mueven lateralmente a otros sistemas y apagan los controles de seguridad siempre que pueden, después de una etapa de reconocimiento de red.
Cómo asegurar servidores RDP
Es importante mencionar que usar RDP para acceder a tus estaciones de trabajo o servidores de forma remota no es algo mal visto. Solo si estos servicios están protegidos contra ataques.
Para hacerlo, Kaspersky recomienda tomar las siguientes medidas:
- Como mínimo, usar contraseñas seguras.
Hacer que RDP esté disponible solo a través de una VPN corporativa. - Usar la autenticación de nivel de red (NLA).
- Si es posible, habilitar la autenticación de dos factores.
- Si no usas RDP, desactívalo y cierra el puerto 3389.
También debes habilitar las políticas de bloqueo de cuentas para bloquear los ataques de fuerza bruta. Esto bloquearán temporalmente los inicios de sesión en las cuentas después de un cierto número de intentos fallidos de inicio de sesión.
La habilitación de políticas de auditoría de cuentas también puede ayudar a prevenir tales ataques. Estas permitirán a los administradores ver qué cuentas muestran repetidamente errores de inicio de sesión, por lo tanto, potencialmente atacados en arremetidas de fuerza bruta.
VNC también es vulnerable
Incluso si utilizas el protocolo VNC para el trabajo remoto, aún está expuesto a ataques. Esto lo demuestran las docenas de vulnerabilidades de seguridad encontradas por los investigadores de Kaspersky en clientes VNC Linux y Windows en noviembre de 2019.
Después de ese descubrimiento, el equipo de investigación ICS CERT de Kaspersky pudo encontrar más de 600,000 servidores VNC a los que se puede acceder de forma remota. Se puede acceder en función de la información recopilada utilizando el motor de búsqueda Shodan para dispositivos conectados a Internet.
“Como protección contra los ataques, los clientes no deben conectarse a servidores VNC desconocidos. Asimismo, los administradores deben configurar la autenticación en el servidor utilizando una contraseña segura única”, afirmó el investigador de Kaspersky Pavel Cheremushkin.
[…] "Mostramos cómo esta falla se convierte en un cuello de botella. Podría usarse para montar un ataque devastador contra uno o ambos, resolutivos recursivos y servidores […]