Alerta en las conexiones RDP
Sophos está viendo una tendencia en la que los atacantes realizan ataques de fuerza bruta contra las contraseñas de los usuarios a través del Protocolo de Escritorio Remoto (RDP). Esta técnica permite al ciberdelincuente el acceso y el control completo del ordenador de la víctima y se ha visto como uno de los recursos que utilizan para entregar ransomware a un entorno.
En otras palabras, la contraseña RDP que se ha elegido para su usuario remoto (o que se ha dejado elegir a ellos mismos) es esencialmente la clave: una contraseña débil y una invitación a cualquier Snooper para que eche un vistazo a lo que hay dentro.
¿Qué es una red RDP y diferencias con una red VPN?
Una VPN funciona de manera totalmente diferente. Su dispositivo se conecta a un servidor VPN, que tan solo conecta a los usuarios a Internet e implementa varias medidas de seguridad. Una vez conectada, todo lo que procesa el servidor VPN es tráfico saliente y entrante: sus solicitudes, las respuestas de los sitios web a sus solicitudes y cualquier archivo que queramos enviar o recibir.
RDP es un método que permite a un usuario remoto conectarse a un ordenador dentro de nuestra red y, por tanto, convierte el ordenador en un escritorio remoto. Cualquier persona que tome el control de nuestro equipo, podrá ejecutar cualquier aplicación, ver nuestros ficheros y disponer de borrado y modificación de éstos.
¿Qué ha encontrado Sophos?
- En un día y en los 10 honeypots que se incluyeron en el estudio, recibieron al menos, un intento de sesión.
- El Remote Desktop Protocol compromete los ordenadores en 84 segundos.
- Durante 30 días, se registraron más de 4 millones de intentos fallidos en el inicio de sesión en todos los honeypots de RDP. Lo cual supone un intento cada seis segundos.
- Los ciberdelincuentes emplean herramientas y técnicas propias para romper la seguridad de los RDP.
Comportamiento de los ciberdelincuentes
Los patrones de ataque son principalmente tres:
El carnero:
Consiste en una estrategia que trata de descubrir la contraseña del administrador. Durante el estudio, uno de los atacantes, para obtener el acceso, realizó más de 100.000 intentos utilizando solo tres nombres de usuario.
El erizo:
Cuando existen grandes periodos de inactividad, se realizan continuos intentos de acceso. De nuevo, en el estudio se vió un pico de intentos de una misma IP durante cerca de 4 horas seguidas, en el que se trató de averiguar la contraseña entre 3.000 y 5.000 veces.
El enjambre:
Esta técnica utiliza nombres de usuario secuenciales y contraseñas para reventar el acceso.
Qué se recomienda para evitarlo
Desde Sophos recomiendan un par de métodos para evitar los ataques a RDP por fuerza bruta.
- El primero sería utilizar una VPN de acceso remoto, donde los administradores pueden limitar las conexiones RDP solo a los usuarios que están conectados a esa VPN.
- El segundo método sería utilizar direcciones IP de lista blanca que se usen para conectarse a RDP.