La pandemia ha cambiado radicalmente la naturaleza del trabajo diario, obligando a los empleados a realizar gran parte de sus tareas laborales a través del acceso remoto. Los ciberdelincuentes, especialmente los operadores de ransomware, son conscientes del cambio e intentan explotar las nuevas oportunidades y aumentar sus ganancias ilícitas.
La telemetría de ESET confirma esta tendencia al registrar un aumento en el número de clientes únicos que informaron intentos de ataque de fuerza bruta bloqueados a través de la tecnología para la protección de ataques de fuerza bruta de ESET.
Antes del cierre, la mayoría de los empleados trabajaban desde la oficina y usaba infraestructura monitoreada y controlada por su departamento de IT. Pero la pandemia de coronavirus ha generado un cambio radical en el status quo. Hoy en día, una gran parte del trabajo de "oficina" se realiza a través de dispositivos domésticos, con trabajadores que acceden a los sistemas sensibles de la empresa a través del protocolo de escritorio remoto (RDP) de Windows, una solución patentada creada por Microsoft para permitir la conexión a la red corporativa desde computadoras remotas.
A pesar de la creciente importancia de RDP (así como de otros servicios de acceso remoto), las organizaciones a menudo descuidan su configuración y protección. Los empleados usan contraseñas fáciles de adivinar, y sin capas adicionales de autenticación o protección, hay poco que pueda evitar que los delincuentes cibernéticos comprometan los sistemas de una organización.
Probablemente, esta también sea la razón por la cual el RDP se ha convertido en un vector de ataque tan popular en los últimos años, especialmente entre las pandillas de ransomware. Estos ciberdelincuentes suelen abrirse paso con técnicas de fuerza bruta a una red mal asegurada, elevar sus derechos a nivel de administrador, deshabilitar o desinstalar soluciones de seguridad y luego ejecutar ransomware para cifrar datos cruciales de la compañía.
El creciente número de clientes únicos que informaron un intento de ataque vía RDP es visible en los datos recopilados por la telemetría de ESET (vea la Figura 1).
Protección contra ataques de fuerza bruta de ESET
Para abordar los crecientes riesgos que plantea el aumento en el uso de RDP, los investigadores de ESET han ideado una nueva capa de detección que se oculta bajo dentro del motor de ESET Network Attack Protection. Esta tecnología, denominada ESET Brute-Force Attack Protection, está diseñada para bloquear los ataques de fuerza bruta entrantes de direcciones IP externas, y contempla los protocolos RDP y SMB.
Esta nueva capa permite que las soluciones endpoint de ESET detecten grupos de intentos fallidos de inicio de sesión desde entornos externos, que sugieren un ataque de fuerza bruta entrante, y luego bloqueen otros intentos. Posteriormente, las direcciones IP correspondientes a los intentos de ataque más importantes se agregan a una lista negra, lo que protege millones de dispositivos a través de ESET LiveGrid® de futuros ataques.
Actualmente, esta capa bloquea conexiones RDP y SMB sospechosas y maliciosas a dispositivos protegidos por todos los productos de seguridad endpoint de ESET para Windows más recientes. Un cliente puede ver todos los detalles: la IP bloqueada, la lista negra que causó el bloqueo, y los registros producidos por la funcionalidad en los registros del producto endpoint (vea las Figuras 2–4).
ESET Brute-Force Attack Protection ha demostrado ser efectiva contra ataques aleatorios y dirigidos. Para que funcione correctamente, la opción RDP Network Level Authentication (NLA) debe estar habilitada en el servidor.
Según la telemetría de ESET, la mayoría de las IP bloqueadas en enero-mayo de 2020 se detectaron en Estados Unidos, China, Rusia, Alemania y Francia (ver Figura 5).
Los países que tenían el mayor número de IP apuntadas fueron Rusia, Alemania, Japón, Brasil y Hungría (ver Figura 6).
Cómo configurar el acceso remoto correctamente
Sin embargo, incluso con medidas de protección como ESET Brute-Force Attack Protection, las organizaciones deben mantener su acceso remoto configurado correctamente:
- Deshabilite los servicios RDP con conexión a internet. Si eso no es posible, minimice la cantidad de usuarios que pueden conectarse directamente a los servidores de la organización a través de Internet.
- Establezca como requisito contraseñas seguras y complejas para todas las cuentas que puedan iniciar sesión a través de RDP.
- Use una capa adicional de autenticación (MFA/2FA).
- Instale una puerta de enlace de red privada virtual (VPN) como intermediaria para todas las conexiones RDP desde fuera de su red local.
- En el firewall perimetral, no permita conexiones externas a máquinas locales en el puerto 3389 (TCP/UDP) o cualquier otro puerto RDP.
- Proteja su software de seguridad endpoint contra posibles alteraciones o desinstalaciones estableciendo una contraseña para realizar cambios en su configuración.
- Aísle cualquier computadora insegura u obsoleta a la que deba accederse desde Internet utilizando RDP y reemplácela lo antes posible.
- Para obtener una descripción detallada de cómo configurar su conexión RDP correctamente, consulte este documento (en inglés) escrito por el distinguido investigador de ESET Aryeh Goretsky, con contribuciones de James Shepperd.
- La mayoría de estas mejores prácticas se aplican también a FTP, SMB, SSH, SQL, TeamViewer, VNC y otros servicios.
Ransomware, mineros de criptomonedas y backdoors
El cifrado de datos y la posterior extorsión no es el único escenario que podría seguir a un compromiso vía RDP. Con frecuencia, los atacantes intentan instalar malware para minar criptomonedas o crear un backdoor, que se puede ser utilizado por los atacantes en caso de que la víctima haya identificado y cerrado el acceso RDP no autorizado.
Otros escenarios comunes que pueden darse luego de un compromiso RDP incluyen:
- borrado de archivos de registro, eliminando así la evidencia de actividad maliciosa previa,
- descarga y ejecución de herramientas y malware en el sistema comprometido, a elección del atacante
- deshabilitación o borrado completo de las copias de seguridad programadas y las instantáneas (shadow copies), o
- exfiltración de datos del servidor.
Los cibercriminales han estado tratando de explotar RDP durante años, como lo documenta nuestra publicación de 2013. El crecimiento en el número ataques RDP en los últimos años se ha vuelto la causa de numerosas advertencias gubernamentales de agencias, entre las que se incluyen el FBI, el NCSC del Reino Unido y el ACSC de Australia.
Esto solo demuestra cuán crucial se ha vuelto la seguridad del acceso remoto, que potencialmente puede hacer o deshacer el futuro de una empresa. Si se vuelve incluso posible gestionar el daño a la reputación de una organización, hay pérdidas financieras, operaciones estancadas y costosos esfuerzos de recuperación que deben tenerse en cuenta. Esto no considera los costos adicionales de posibles sanciones que pueden emitir las autoridades en virtud de la legislación de protección de datos correspondiente, como GDPR (UE), CCPA (California) o NDB (Australia).
Ya sea que haya una pandemia o no, las empresas deben gestionar los riesgos que plantea el uso generalizado de RDP u otros servicios similares reforzando sus contraseñas y agregando otras capas de seguridad, incluida la autenticación multifactor y una solución de seguridad que proteja contra ataques basados en RDP y protocolos similares, tal como la protección brindada por ESET Brute-Force Attack Protection.