Los ataques de contraseña RDP están en aumento durante la pandemia de COVID-19

Durante sus estafas, los ciberdelincuentes a menudo intentan engañar a las víctimas para que piensen que hay una emergencia que debe abordarse rápidamente. Al hacer esto, es mucho más probable que los objetivos tengan prisa por actuar, y cuando tienen prisa, es mucho más probable que cometan errores. A veces, sin embargo, los delincuentes no necesitan crear estas emergencias. A veces, las emergencias son causadas por factores externos, y todo lo que los delincuentes deben hacer es aprovechar los errores resultantes. La semana pasada, ESET nos dio un brillante ejemplo de cómo los eventos globales pueden crear el entorno adecuado para los ataques cibernéticos.

Hace unos meses, países de todo el mundo declararon un estado de emergencia debido al brote de COVID-19, y se les dijo a cientos de miles de trabajadores que debían trabajar desde sus hogares. Para muchos, esto significaba usar sus propias computadoras y dispositivos, pero aún necesitaban acceso a redes y datos corporativos confidenciales. Para evitar el tiempo de inactividad, las configuraciones debían realizarse rápidamente y, como era de esperar, allí fue donde las cosas salieron mal.

Las configuraciones deficientes de RDP conducen a un aumento en la cantidad de ataques

RDP significa Protocolo de escritorio remoto y, como su nombre lo indica, es una de las formas en que puede configurar una conexión remota entre dos dispositivos. El brote de coronavirus provocó un aumento en su uso, que, a su vez, resultó en muchos más ataques cibernéticos dirigidos a las conexiones RDP de los empleados. De hecho, según la telemetría de ESET, a fines de enero, aproximadamente un mes y medio antes de que la Organización Mundial de la Salud declarara el brote de coronavirus como una pandemia, el número de ataques de PDR rondaba los 40 mil por día. Por el contrario, en mayo, aproximadamente un mes y medio después de que se les dijera a las personas que se quedaran en casa, ESET registró un pico de 100 mil ataques diarios.

Las contraseñas débiles y las configuraciones de red inseguras hacen que las conexiones RDP sean fácilmente explotables

Los ataques RDP no son nuevos. El protocolo en sí ha existido durante siglos, y los hackers lo han estado explotando durante un tiempo. Sin embargo, la edad no es el problema aquí.

Las conexiones RDP se pueden configurar para ser seguras, pero la gran cantidad de ataques que vemos todos los días demuestra que las personas simplemente no lo están haciendo. La pandemia de COVID-19 podría ser la razón del aumento actual, pero los ataques en sí mismos habrían sido imposibles si no fuera por los errores de configuración de las personas.

El mayor problema es la gestión de contraseñas. La mayoría de los ataques a protocolos como RDP y SMB se basan en técnicas de fuerza bruta para adivinar las credenciales de inicio de sesión que permiten la sesión remota, y el hecho de que los delincuentes todavía las usan después de todos estos años demuestra que las personas todavía están protegiendo los datos corporativos confidenciales con facilidad -para descifrar contraseñas. Por supuesto, sería aún mejor si los delincuentes no tienen forma de iniciar sesión en absoluto, y existen herramientas que también pueden garantizarlo. Sin embargo, parece que los administradores del sistema no han podido implementarlos, y cuando se trata de las redes actualmente expuestas, al menos una parte de la razón de esto es la presión que tenían para cerrar rápidamente las oficinas cuando se anunció el cierre. .

Los ataques RDP pueden resultar en brotes de ransomware para campañas de cryptojacking

Las consecuencias de las conexiones RDP mal configuradas podrían ser bastante catastróficas. Después de adivinar una contraseña e iniciar sesión, los piratas informáticos pueden obtener privilegios administrativos con relativa facilidad, lo que significa que pueden hacer casi todo lo que quieran. Los operadores de ransomware han estado utilizando RDP para bloquear los datos de empresas y organizaciones durante años, y recientemente, también han utilizado el acceso que tienen para robar información invaluable. Los hackers que prefieren ataques más silenciosos también pueden participar en otras actividades criminales como el criptojacking.

Con todo, RDP es un vector de ataque muy poderoso, y los administradores de sistemas deben tomarse en serio su seguridad. Si su organización necesita usar RDP, deben configurar el firewall para no permitir conexiones externas a los puertos del protocolo, e idealmente, lo ocultarán detrás de una puerta de enlace VPN. Los administradores de sistemas deben ser conscientes de quién va a utilizar el protocolo, y deben asegurarse de que todos los usuarios empleen contraseñas únicas y seguras, así como autenticación de dos factores.