La capacidad de los hackers para explotar casi cualquier vulnerabilidad plantea uno de los mayores desafíos para la aplicación de la ley, y para las pequeñas empresas. La Oficina Federal de Investigaciones recientemente emitió una advertencia a las empresas y otros sobre otra amenaza. Los hackers han comenzado a explotar el Protocolo de escritorio remoto (RDP) para llevar a cabo actividades maliciosas con mayor frecuencia.
Según el FBI, el uso del Protocolo de escritorio remoto como un vector de ataque ha aumentado desde mediados hasta finales de 2016. El aumento en los ataques de RDP ha sido impulsado en parte por mercados oscuros que venden acceso al Protocolo de escritorio remoto. Estos malos actores han encontrado formas de identificar y explotar las sesiones de RDP vulnerables a través de Internet.
$config[code] not foundPara las pequeñas empresas que utilizan RDP para controlar las computadoras de su hogar u oficina de forma remota, se requiere más vigilancia, incluida la implementación de contraseñas seguras y su cambio regular.
En su anuncio, el FBI advierte: "Los ataques que utilizan el protocolo RDP no requieren la intervención del usuario, lo que dificulta la detección de intrusiones".
¿Qué es el protocolo de escritorio remoto?
Diseñado para el acceso y la administración remotos, RDP es un método de Microsoft para simplificar la transferencia de datos de aplicaciones entre usuarios de clientes, dispositivos, equipos de escritorio virtuales y un servidor de terminal de protocolo de escritorio remoto.
En pocas palabras, RDP le permite controlar su computadora de forma remota para administrar sus recursos y acceder a los datos. Esta función es importante para las pequeñas empresas que no usan la computación en la nube y dependen de sus computadoras o servidores instalados en las instalaciones.
Esta no es la primera vez que RDP presenta problemas de seguridad. En el pasado, las primeras versiones tenían vulnerabilidades que las hacían susceptibles a un ataque de hombre en el medio que daba a los atacantes acceso no autorizado.
Entre 2002 y 2017, Microsoft publicó actualizaciones que corrigieron 24 vulnerabilidades principales relacionadas con el Protocolo de escritorio remoto. La nueva versión es más segura, pero el anuncio del FBI señala que los hackers todavía lo están utilizando como un vector para los ataques.
Hackeo del protocolo de escritorio remoto: las vulnerabilidades
El FBI ha identificado varias vulnerabilidades, pero todo comienza con contraseñas débiles.
La agencia dice que si usa palabras de diccionario y no incluye una combinación de mayúsculas y minúsculas, números y caracteres especiales, su contraseña es vulnerable a ataques de fuerza bruta y diccionario.
El protocolo de escritorio remoto obsoleto que utiliza el protocolo del proveedor de soporte de seguridad de credenciales (CredSSP) también presenta vulnerabilidades. El CredSSP es una aplicación que delega las credenciales del usuario desde el cliente al servidor de destino para la autenticación remota. Un RDP desactualizado hace posible lanzar ataques de hombre en el medio.
Otras vulnerabilidades incluyen permitir el acceso sin restricciones al puerto predeterminado del Protocolo de escritorio remoto (TCP 3389) y permitir intentos de inicio de sesión ilimitados.
Hackeo del protocolo de escritorio remoto: amenazas
Estos son algunos ejemplos de las amenazas enumeradas por el FBI:
CrySiS Ransomware: El ransomware de CrySIS se dirige principalmente a empresas estadounidenses a través de puertos RDP abiertos, utilizando ataques de fuerza bruta y de diccionario para obtener acceso remoto no autorizado. CrySiS luego coloca su ransomware en el dispositivo y lo ejecuta. Los actores de la amenaza exigen el pago en Bitcoin a cambio de una clave de descifrado.
CryptON Ransomware: El ransomware CryptON utiliza ataques de fuerza bruta para obtener acceso a las sesiones de RDP, luego permite que un actor de amenazas ejecute manualmente programas maliciosos en la máquina comprometida. Los actores cibernéticos suelen solicitar Bitcoin a cambio de direcciones de descifrado.
Samsam Ransomware: Samsam ransomware utiliza una amplia gama de ataques, incluidos los que atacan a máquinas habilitadas para RDP, para realizar ataques de fuerza bruta. En julio de 2018, los actores de amenazas de Samsam utilizaron un ataque de fuerza bruta en las credenciales de inicio de sesión de RDP para infiltrarse en una compañía de atención médica. El ransomware pudo cifrar miles de máquinas antes de la detección.
Intercambio de web oscuro: Los actores de amenazas compran y venden credenciales de inicio de sesión de RDP robadas en la Web oscura. El valor de las credenciales está determinado por la ubicación de la máquina comprometida, el software utilizado en la sesión y los atributos adicionales que aumentan la facilidad de uso de los recursos robados.
Hackeo del protocolo de escritorio remoto: ¿Cómo puede protegerse?
Es importante recordar que cada vez que intente acceder a algo de forma remota existe un riesgo. Y debido a que Remote Desktop Protocol controla completamente un sistema, debe regular, monitorear y administrar quién tiene acceso de cerca.
Al implementar las siguientes prácticas recomendadas, el FBI y el Departamento de Seguridad Nacional de los EE. UU. Afirman que tiene una mejor oportunidad contra los ataques basados en RDP.
- Habilite contraseñas seguras y políticas de bloqueo de cuenta para defenderse de los ataques de fuerza bruta.
- Utilice la autenticación de dos factores.
- Aplicar actualizaciones de sistema y software con regularidad.
- Tener una estrategia de copia de seguridad confiable con un sistema de recuperación fuerte.
- Habilite el registro y asegure los mecanismos de registro para capturar los inicios de sesión del Protocolo de escritorio remoto. Mantenga los registros por un mínimo de 90 días. Al mismo tiempo, revise los inicios de sesión para asegurarse de que solo los que tienen acceso los estén utilizando.
Puedes echar un vistazo al resto de las recomendaciones aquí.
Los titulares de las violaciones de datos aparecen regularmente en las noticias, y está ocurriendo en grandes organizaciones con recursos aparentemente ilimitados. Si bien puede parecer imposible proteger su pequeña empresa de todas las amenazas cibernéticas existentes, puede minimizar su riesgo y responsabilidad si cuenta con los protocolos adecuados con un gobierno estricto para todas las partes.
Imagen: FBI
