Cuidado con el RDP. 142% más ataques en Abril.

LicenciaCO

· 3 mins leer

El aislamiento decretado en algunos países ha obligado a muchas empresas a implementar todo tipo de tecnologías para mantener a sus colaboradores productivos desde casa, e implementar RDP (escritorio remoto) directo a internet ha sido uno de los errores cometidos por las empresas y preferidos por los delincuentes.

Aumento de ataques al servidor promedio

Aumento de ataques al servidor promedio

Los señuelos del detector de intrusos de Laniken en varios países de Latam nos han permitido llevar registro estadístico de la frecuencia promedio de intentos de acceso que enfrenta el servidor típico expuesto a internet. Teniendo en cuenta que se activa el bloqueo permanente de una IP atacante después de 25 intentos, hasta el 1 de Marzo de 2020 el promedio diario era de 1522 intentos de acceso. Desde esa fecha, el promedio diario pasó a ser de 3685 intentos diarios.

Ante un escenario de Teletrabajo forzado y que ha tenido que implementarse aceleradamente, los delincuentes parecen haber robustecido sus capacidades de ataque hacia el servicio RDP (escritorio remoto). Esto resulta lógico ya que es de esperar que muchas empresas opten por esta solución debido a su relativamente fácil implementación y bajo costo, pero sobre todo debido a la ignorancia generalizada acerca de los riesgos que implica. Esto debería motivar la implementación de campañas de prevención respecto de este tema en particular.

Lecturas adicionales:

https://www.sogyo.net/blog/riesgos-de-usar-escritorio-remoto-rdp-publicado-en-internet/

https://www.anydeskla.com/ayuda/542/por-que-es-mejor-usar-anydesk-para-teletrabajo-que-vpn-rdp

También es posible que el aumento de teletrabajadores haya supuesto el incremento de la capacidad de las botnets ya que es de esperar que muchos de los dispositivos domésticos empleados para teletrabajo y que se encuentran pobremente protegidos (o ya comprometidos) ahora estén siendo utilizados durante más horas al día y con mejores anchos de banda disponibles.

Recuerde que con los ataques de fuerza bruta al RDP, los delincuentes buscan adivinar contraseñas de administrador para poder ingresar en servidores y usualmente, ejecutar Ransomware con el objetivo de cifrar la información de propiedad de la empresa y luego exigir el pago de un rescate para recuperarla.

G Data detecta la ejecución de Ransomware mediante RDP gracias a la tecnología BEAST

G Data detecta la ejecución de Ransomware mediante RDP gracias a la tecnología BEAST

Una vez el atacante consigue acceso a la máquina, intentará ejecutar Ransomware en el dispositivo comprometido y de ser posible, cifrar archivos en las unidades locales y cualquier unidad de red que le sea accesible.

En algunos casos, si el software antivirus detecta el ransomware o detiene su ejecución, los atacantes intentan con múltiples variantes hasta que logren ejecutar una que sea desconocida para el antivirus.

G Data defiende activamente un equipo comprometido frente a múltiples ataques

G Data defiende activamente un equipo comprometido frente a múltiples ataques

Si las credenciales adivinadas por el atacante resultan ser de administrador, es posible que el atacante ingrese manualmente al PC o servidor y desinstale el antivirus (porque tiene credenciales de administrador). En estos casos la protección antivirus no funcionará.

Los usuarios de G Data que no tengan más remedio que usar RDP directo a internet, podrían mitigar el riesgo:

  • Activando el firewall con detección de escaneo de puertos.
  • Verifique los 5 puntos de control esenciales.
  • Use contraseñas MUY fuertes para los usuarios y administradores.
  • Active todos los módulos en modo detener.
  • Considere usar el detector de intrusos Laniken como complemento. Para los partners G Data es gratis.

Recuerde que el sistema antivirus es como una ventana a prueba de balas: cuantas más capas de protección tenga será capaz de soportar ataques más sofisticados, pero sólo podrá protegerle mientras aplique el sentido común y conduzca con las ventanas cerradas!