top of page
Buscar

Cómo asegurar el RDP de los atacantes de Ransomware


En los últimos meses, las organizaciones de todos los sectores han dependido en gran medida del Protocolo de escritorio remoto (RDP) para mantener la continuidad del negocio y respetar el distanciamiento social.


Sin embargo, el rápido cambio al trabajo remoto también ha brindado una oportunidad única para los grupos de ransomware. Los actores de la amenaza predijeron que muchas organizaciones no tendrían el tiempo o los recursos para implementar de manera segura el RDP durante la transición masiva al trabajo desde casa y, como resultado, podrían ser vulnerables al compromiso.


Tenían razón La cantidad de puertos RDP expuestos a Internet aumentó de aproximadamente 3 millones en enero de 2020 a más de 4.5 millones en marzo, según un informe de McAfee.


En esta publicación de blog, discutiremos por qué los actores de amenazas usan RDP para implementar malware, cómo nuestras soluciones protegen a los usuarios contra los ataques de fuerza bruta RDP y las mejores prácticas para mitigar las amenazas basadas en RDP.


¿Qué es el RDP?

RDP es un protocolo de comunicaciones de red desarrollado por Microsoft. Disponible para la mayoría de los sistemas operativos Windows, proporciona una interfaz gráfica que permite a los usuarios conectarse de forma remota a un servidor u otra computadora. RDP transmite la pantalla del servidor remoto al cliente y la entrada de periféricos (como el teclado y el mouse) del cliente al servidor remoto, lo que permite a los usuarios controlar una computadora remota como si la estuvieran operando en persona.


RDP se usa generalmente en un entorno empresarial para permitir a los usuarios finales acceder de forma remota a archivos y aplicaciones almacenados en la red local de la organización. Los administradores también usan comúnmente RDP para diagnosticar y resolver de forma remota problemas técnicos con los dispositivos de los usuarios finales.


Cómo los atacantes usan RDP para implementar malware

RDP generalmente se considera como una herramienta segura cuando se usa dentro de una red privada. Sin embargo, pueden surgir problemas serios cuando los puertos RDP se dejan abiertos a Internet porque permite que cualquiera intente conectarse al servidor remoto. Si la conexión es exitosa, el atacante obtiene acceso al servidor y puede hacer cualquier cosa dentro de los límites de privilegios de la cuenta pirateada.


Esta no es una nueva amenaza, pero el cambio global hacia el trabajo remoto ha subrayado el hecho de que muchas organizaciones no aseguran adecuadamente el RDP, y los actores de la amenaza se están aprovechando. A principios de marzo de 2020, hubo alrededor de 200,000 ataques diarios RDP de fuerza bruta en los Estados Unidos, según un informe de Kaspersky. A mediados de abril, este número se había disparado a casi 1.3 millones. Hoy, RDP es considerado como el vector de ataque más grande para ransomware .


RDP puede ser explotado de varias maneras. Los incidentes que hemos observado recientemente se basan principalmente en la piratería de sistemas RDP expuestos a Internet. El proceso generalmente se ve así:


  1. Escanear en busca de puertos RDP expuestos : el atacante utiliza herramientas de escaneo de puertos gratuitas y fáciles de usar, como Shodan, para escanear toda la Internet en busca de puertos RDP expuestos.

  2. Intente iniciar sesión : el atacante intenta obtener acceso al sistema (generalmente como administrador) utilizando credenciales robadas que se pueden comprar en el mercado negro, o más comúnmente, herramientas de fuerza bruta que intentan iniciar sesión sistemáticamente utilizando todas las combinaciones de caracteres posibles hasta que se encuentren el nombre de usuario y la contraseña correctos.

  3. Desactivar los sistemas de seguridad : una vez que el atacante ha obtenido acceso al sistema de destino, se enfoca en hacer que la red sea lo más insegura posible. Dependiendo de los privilegios de la cuenta comprometida, esto podría implicar deshabilitar el software antivirus, eliminar copias de seguridad y cambiar las configuraciones de configuración que generalmente están bloqueadas.

  4. Entregue la carga útil : después de que los sistemas de seguridad se hayan deshabilitado y la red sea adecuadamente vulnerable, se entrega la carga útil. Esto podría implicar instalar ransomware en la red, implementar keyloggers, usar máquinas comprometidas para distribuir spam, robar datos confidenciales o instalar puertas traseras que puedan usarse para futuros ataques.


Cómo Emsisoft ayuda a proteger contra ataques basados ​​en RDP

En julio de 2020, presentamos una nueva característica de seguridad para ayudar a proteger a nuestros usuarios contra ataques basados ​​en RDP.


Nuestras soluciones para usuarios domésticos y empresas ahora monitorean el estado del servicio RDP en tiempo real. Si se detectan múltiples intentos fallidos de inicio de sesión, nuestro software activa una alerta a los administradores a través de Emsisoft Cloud Console, que luego pueden decidir si deshabilitar RDP en el dispositivo afectado.


El estado del servicio RDP se puede ver dentro de Emsisoft Cloud Console, lo que permite a los administradores ver de un vistazo si RDP está habilitado en un dispositivo en particular.


Mejores prácticas para asegurar RDP

RDP siempre debe estar deshabilitado a menos que sea necesario. Para las organizaciones que requieren RDP, las siguientes mejores prácticas pueden ser útiles para asegurar RDP contra ataques de fuerza bruta.


  • Use una VPN : como se señaló, surgen serios riesgos de seguridad cuando RDP está abierto a Internet. En cambio, las organizaciones deberían usar una VPN para permitir a los usuarios remotos acceder de forma segura a la red corporativa sin exponer sus sistemas a Internet completo.

  • Utilice contraseñas seguras : la mayoría de los ataques basados ​​en RDP se basan en descifrar credenciales débiles. Como tal, las organizaciones deben exigir el uso de contraseñas seguras en todos los terminales de clientes y servidores RDP. Las contraseñas deben ser largas, únicas y aleatorias.

  • Utilice la autenticación multifactor: incluso las contraseñas más seguras pueden verse comprometidas. Si bien no es infalible, la autenticación multifactor (MFA) ofrece una capa adicional de protección al exigir a los usuarios que proporcionen al menos dos formas de autenticación (como un código de uso único o notificación biométrica) para iniciar sesión en una sesión RDP.

  • Use un firewall para limitar el acceso : se puede usar un firewall para limitar el acceso RDP a una dirección IP específica o rango de direcciones IP.

  • Use una puerta de enlace RD : un servidor de puerta de enlace RD, una característica disponible en todas las versiones de Windows Server desde Windows Server 2008, es extremadamente útil para simplificar la implementación de RDP y la administración de seguridad.

  • Bloquee las IP que fallan en múltiples intentos de inicio de sesión : un alto número de intentos fallidos de inicio de sesión en un corto período de tiempo generalmente indica un ataque de fuerza bruta. Las Políticas de cuenta de Windows se pueden usar para definir y limitar la cantidad de veces que un usuario puede intentar iniciar sesión en RDP. El software de protección Emsisoft alerta automáticamente a los administradores cuando detecta múltiples intentos fallidos de inicio de sesión.

  • Restrinja el acceso remoto : si bien todos los administradores pueden usar RDP de manera predeterminada, existe una buena posibilidad de que muchos de estos usuarios no necesiten acceso remoto para hacer su trabajo. Las organizaciones siempre deben cumplir con el principio de privilegio mínimo y restringir el acceso de RDP solo a aquellos que realmente lo requieran.

  • Cambie el puerto de escucha RDP : los atacantes generalmente identifican objetivos potenciales al escanear en Internet las computadoras que escuchan en el puerto RDP predeterminado (TCP 3389). Si bien cambiar el puerto de escucha a través del Registro de Windows puede ayudar a las organizaciones a "ocultar" las conexiones vulnerables, no proporciona protección contra los ataques RDP y, por lo tanto, debe usarse solo como una técnica complementaria.


Conclusión

La repentina transición al trabajo desde casa ha visto un aumento en la cantidad de servidores RDP expuestos a Internet, y los ciberdelincuentes buscan capitalizar la oportunidad.


Adoptar un enfoque proactivo para la seguridad RDP permite a las organizaciones aprovechar de forma segura el poder del trabajo remoto mientras minimiza su exposición a las amenazas basadas en RDP.



1109 visualizaciones

Unete a nuestra lista de correo

No te pierdas ninguna actualización

Gracias por tu mensaje!

bottom of page