El carnero, el enjambre y el erizo: tres técnicas utilizadas por los ciberdelincuentes

Usando el protocolo de escritorio remoto (RDP), los cibercriminales están consiguiendo atacar a las empresas.

De hecho, los grupos detrás de los grandes ataques de ransomware Matrix y SamSam se han ido alejando de otros métodos de acceso a redes para usar la fuerza bruta y atacar las contraseñas RDP. Es más, “recientemente, un fallo de ejecución del código remoto en RDP, denominado BlueKeep (CVE-2019-0708), se ha hecho famoso”, tal y como recuerda Matt Boddy, experto en seguridad de Sophos, que advierte de que es “una vulnerabilidad tan grave que podría utilizarse para desencadenar un brote de ransomware que podría extenderse por todo el mundo en cuestión de horas”.

Y ahí no se queda la cosa. “Los ciberdelincuentes están ocupados 24/7 poniendo a prueba, con ataques destinados a averiguar contraseñas, a todos los ordenadores que son potencialmente vulnerables y que están expuestos por el RDP”, advierte este experto.

Una investigación de Sophos, que lleva por título El RDP Expuesto: La Amenaza Que Ya Está En Tu Puerta, descubre el modo en el que los cibercriminales se dirigen a las empresas por medio de RDP. Son tres los patrones principales: el carnero (ram), el enjambre (swarm) y el erizo (hedgehog). El primero de ellos permite descubrir la contraseña de administrador, el segundo se concentra en nombres de usuario secuenciales y las peores credenciales y el tercero se basa en ráfagas de actividad seguidas de periodos de inactividad largos.

Además, el análisis de Sophos, que implementó diez honeypots dispersos por el mundo para medir el riesgo, demuestra que los atacantes encuentran dispositivos habilitados para RDP al poco de aparecer en internet. Todos esos honeypots con los que hizo sus pruebas Sophos recibieron el primer intento de inicio de sesión de RDP en un día. En total, registraron 4 298 513 intentos fallidos en 30 días, lo que equivale a 1 intento cada 6 segundos.

“En la actualidad, hay más de tres millones de dispositivos accesibles a través de RDP en todo el mundo, y ahora se han convertido en el punto de entrada preferido por los ciberdelincuentes”, concluye Matt Boddy. “Todos los honeypots fueron descubiertos en pocas horas, tan solo porque estaban expuestos en internet a través de RDP”.

“La conclusión fundamental es que hay reducir el uso del RDP siempre que sea posible y garantizar que en la empresa se tengan en cuenta las mejores prácticas respecto del uso de contraseñas”, dice Boddy. “Las empresas deben actuar en consecuencia para implementar el protocolo de seguridad adecuado para protegerse contra los atacantes implacables”.