Informes muestran un aumento de ataques contra servidores RDP

Durante la pandemia COVID-19

0
26

La prisa por permitir que los empleados trabajen desde casa en respuesta a la pandemia de COVID-19, dio lugar a que más de 1,5 millones de nuevos servidores de Protocolo de Escritorio Remoto (RDP, por sus siglas en inglés) estuvieran expuestos a Internet. El número de ataques dirigidos a puertos RDP abiertos en los EE.UU. se triplicó en marzo y abril.

No muchas empresas tienen un gran stock de portátiles gestionados sin usar para que los empleados se los lleven a casa con poco tiempo de antelación, especialmente aquellos que solían hacer su trabajo desde estaciones de trabajo con software heredado personalizado que solo funciona en determinadas versiones de Windows. Dado que los equipos de TI también tienen que trabajar desde casa, la necesidad de administrar los servidores de las instalaciones de forma remota también es un problema común para el que las empresas tienen que encontrar una solución.

Como una tecnología que fue incorporada en Windows para permitir el manejo remoto de las computadoras, RDP puede ser una solución fácil para tales problemas, pero también puede convertirse en una debilidad importante para las organizaciones si se despliega de manera insegura.

RDP un grave problema empeorado
El protocolo RDP es un objetivo frecuente para el relleno de credenciales y otros ataques de adivinación de contraseñas por fuerza bruta, que se basan en listas de nombres de usuario y combinaciones de contraseñas comunes o en credenciales robadas de otras fuentes. Algunos ciberdelincuentes incluso se especializan en la venta de credenciales RDP pirateadas como mercancía en el mercado clandestino a otros hackers que las utilizan para desplegar programas de rescate y criptómeros, o para realizar ataques más sofisticados que pueden conducir al robo de datos confidenciales y a compromisos más amplios en la red.

«McAfee ATR ha notado un aumento tanto en el número de ataques contra puertos RDP como en el volumen de credenciales RDP vendidas en los mercados clandestinos», dijeron los investigadores de la empresa de seguridad McAfee en un nuevo informe.

La empresa señala que el número de puertos RDP expuestos a Internet ha aumentado de unos tres millones en enero a más de 4,5 millones en marzo. Más de un tercio de ellos están en los EE.UU. y otro tercio en China. Más de la mitad de las máquinas con puertos RDP expuestos están ejecutando alguna versión de Windows Server, pero alrededor de una quinta parte ejecuta Windows 7, que ya no es compatible y no recibe actualizaciones de seguridad. Eso es preocupante, porque además de estar configurado a menudo con contraseñas débiles, RDP también ha visto su cuota de vulnerabilidades y exploits a lo largo de los años.

Alrededor de la mitad de todas las credenciales RDP vendidas en el mercado clandestino son para máquinas de China, seguida de Brasil, Hong Kong, India y Estados Unidos. El número de credenciales para los hosts RDP con base en los Estados Unidos es bastante bajo, un 4% del total, pero McAfee cree que esto es probable porque los hackers que las venden no publican sus listas completas y tienen las credenciales y hosts más valiosos para sí mismos o para ventas más privadas y selectas.

Un aumento de los ataques de RDP
Según otro informe reciente del proveedor de servicios VPN, Atlas VPN, a partir del 10 de marzo, el número de ataques RDP se ha disparado significativamente en los EE.UU., España, Italia, Alemania, Francia, Rusia y China. Esto parece correlacionarse con el comienzo de las restricciones de movimiento de la población, y los cierres que se han impuesto en todo el mundo en respuesta a la pandemia COVID-19.

«En los EE.UU., los ataques alcanzaron su punto máximo el 7 de abril del 2020, con un total de 1.417.827 ataques», dijo la compañía en su informe. «Comparando el período del 9 de febrero al 9 de marzo del 2020, al 10 de marzo al 10 de abril del 2020, los ataques del RDP en los EE.UU. aumentaron en un 330%.»

Entre el 10 de marzo y el 15 de abril, la compañía registró 148 millones de ataques RDP en todo el mundo. Más de 32 millones de ellos fueron detectados en los EE.UU., o casi 900 mil ataques por día en promedio.

«Estos ataques sistemáticamente intentan numerosas combinaciones de nombre de usuario y contraseña hasta encontrar la correcta», señaló la compañía. «Un ataque exitoso le da al ciberdelincuente acceso remoto a la computadora o servidor objetivo en la red corporativa».

Protegiendo el RDP
Primero, exponer a RDP directamente a Internet es una mala práctica de seguridad, incluso con una buena higiene de credenciales, certificados digitales y autenticación de dos factores. El parcheo lento siempre puede llevar a que los servidores se vean comprometidos por una vulnerabilidad RDP. RDP siempre debería ser accesible solo a través de una conexión VPN segura a la red corporativa, o a través de una puerta de acceso remoto de confianza cero.

McAfee recomienda las siguientes prácticas recomendadas:

  • No permita conexiones RDP a través de la Internet abierta.
  • Utilice contraseñas complejas, así como autenticación multifactorial.
  • Bloquee los usuarios y bloquee o espere a que se agoten las IPs que tengan demasiados intentos fallidos de inicio de sesión.
  • Utilice una puerta de enlace RDP.
  • Limite el acceso a la cuenta de administrador del dominio.
  • Minimizar el número de administradores locales.
  • Utilice un firewall para restringir el acceso.
  • Habilitar el modo de administración restringido.
  • Habilitar la autenticación de nivel de red (NLA).
  • Asegurarse de que las cuentas de administrador local sean únicas y restringir los usuarios que pueden iniciar sesión usando RDP.
  • Considerar la colocación dentro de la red.
  • Considerar el uso de una convención de nombres de cuentas que no revele información de la organización.

Lucian Constantin, CSOonline.com