Microsoft incluyó Remote Desktop Protocol (RDP) en sus ofertas por primera vez en 1996. Desde entonces, los ciberdelincuentes han intentado, a veces con éxito, hackear los equipos a través de este protocolo y hemos visto innumerables ataques de RDP realizados por diferentes tipos de malware. Pero una tendencia preocupante y creciente de este estilo de ciberataque, que comenzó hace unos años, ha estado bloqueando los sistemas con software de rescate (ransomware), paralizando temporalmente el negocio de los atacados en el mejor de los casos. El Internet Crime Complaint Center (IC3), junto con el Departamento de Seguridad Nacional de los EE.UU., publicó recientemente una alerta que dice: "Herramientas de administración remota, como el Protocolo de Escritorio Remoto (RDP), como vector de ataque, ha estado en aumento desde mediados de 2016 con el aumento de los mercados negros que venden acceso RDP".

Echemos un vistazo a esta amenaza de RDP, veamos qué sucede cuando se explota un RDP, y aprendamos a mantenernos protegidos de los ataques de RDP.

El RDP ha sido utilizado como una herramienta de confianza desde su creación. La utilidad de conectarse de forma remota a un escritorio ha cambiado literalmente la forma en que gran parte del mundo lleva a cabo sus negocios. Todas las versiones de Windows a partir de XP han sido equipadas con una función de Conexión a Escritorio remoto. El mundo de los negocios rápidamente adoptó la tecnología, en poco tiempo confiando en su conveniencia. Desafortunadamente, cuando no se gestionaba y configuraba correctamente, también abría un nuevo vector de infección para los atacantes.

¿Qué es RDP?

Una vulnerabilidad en la implementación de RDP y su posterior explotación ocurre de vez en cuando y este tipo de ataque es más efectivo contra sistemas más antiguos y sin parches.

Sin embargo, no es el tipo principal de ataque de RDP que estamos presenciando en estado puro. Un ataque por fuerza bruta a las credenciales de inicio de sesión débiles es mucho más frecuente. En este tipo de ataque, el atacante prueba de forma automática e incansable múltiples combinaciones de contraseñas hasta encontrar la solución correcta. Las contraseñas débiles y, por supuesto, las contraseñas con fugas, también pueden aprovecharse para entrar.

Los fallos más notorios, sin embargo, se producen cuando el acceso RDP se abre a toda Internet (específicamente, el puerto 3389). Si la configuración de seguridad de cualquiera de los dos extremos está mal configurada, deja una puerta para que los interceptores la encuentren y la pirateen en el equipo objetivo.

Mapa de dispositivos que lo más probable es que estén ejecutando RDP abierto a Internet
Los últimos datos de Shodan.io muestran dispositivos que lo más probable es que estén ejecutando RDP abierto a Internet.

Ataques recientes de RDP

Los ataques que hemos estado viendo últimamente en mayor número involucran una piratería cibernética en el RDP (usando uno de los métodos descritos anteriormente), y luego iniciar sesión como un usuario regular, a menudo con derechos de administrador. A continuación, simplemente desactiva cualquier antivirus instalado y carga y ejecuta manualmente el software de rescate.

Por ejemplo, las cepas de rescate ACCDFISA, SamSam y CrySiS (también conocidas como Dharma) se han propagado casi exclusivamente a través de RDP durante años. En el Avast Threat Labs, hemos descubierto recientemente nuevas variantes de CrySiS: Brrr, Gamma y Monro, lo que confirma que estas cepas siguen desarrollándose activamente. Además, hemos notado un cambio en los métodos de ejecución preferidos de múltiples cepas de ransomware, incluyendo Rapid y GlobeImposter, que ahora se entregan principalmente a través de ataques RDP.

Los resultados de un ataque exitoso de ransomware pueden ser devastadores. Hemos visto casos en los que el RDP ha sido utilizado como vector de infección, en la industria del entretenimiento, la industria de la confección, compañías de logística, ONGs, y más, de todo el mundo. Centros médicos que pierden el acceso a sus registros de pacientes. Individuos que pierden el acceso a sus propias fotos familiares. A nadie le gusta ser víctima del software de rescate, es una experiencia horrible, por lo que le instamos a que se proteja contra él.

Protección RDP

Las claves principales aquí son estas:

1.- Asegúrese de que su conexión RDP no esté abierta a Internet. Configure las opciones para que sólo sea accesible a través de una red interna. El tráfico en los puertos por defecto puede ser bloqueado a nivel de firewall.

2.- Desactive RDP si su empresa no necesita utilizarlo. Si necesita utilizar un RDP, le recomendamos que utilice Remote Desktop Gateway.

3.- Utilice siempre contraseñas seguras, especialmente en las cuentas de administrador. Recuerde que cada una debe ser compleja y completamente única. Considere la posibilidad de utilizar la autenticación de doble factor.

4.- Back up, back up, y… BACK UP!

Si alguna vez se infecta con ransomware, le recomendamos encarecidamente que no pague el rescate, ya que con demasiada frecuencia los rescatadores nunca entregan la clave de descifrado. Compruebe nuestras herramientas de descifrado gratuitas - una de ellas puede ayudarle.

Al igual que con todos los delitos cibernéticos, la mejor protección es la defensa proactiva. Protegemos a nuestros clientes empresariales de ciberataques y rescates con Avast Business Antivirus, así como con nuestras suites AV empresariales de primera calidad. Permítanos ayudarle a salvarse de ser víctima de los ataques de RDP, del ransomware y de cualquier otra cosa que se les ocurra.

Publicado en www.infratech.es el 04-10-2018

Autor: Jakub Křoustek para blog.avast.com - Liderando el equipo de inteligencia de amenazas, Jakub es un analista de malware con un amor por la ingeniería inversa. Su experiencia se basa en ransomware, botnets, hacking de IoT, la red oscura y las criptomonedas. Aunque es despiadado con el malware, todavía le gusta estudiarlo.

Traducido por Infratech Solutions. Artículo original: https://blog.avast.com/ransomware-attacks-via-rdp