FlagDomingo, 09 Agosto 2020

Información de valor para integradores de Seguridad Electrónica y Ciberseguridad

 

 

home off

 

La pandemia de COVID-19 ha cambiado radicalmente la naturaleza del trabajo diario, obligando a los empleados a realizar gran parte de su trabajo desde casa. Conscientes del cambio de escenario, los ciberdelincuentes –sobre todo los operadores de ransomware– intentan explotar las nuevas oportunidades para aumentar sus ganancias. Los datos que aporta la telemetría de ESET confirman esta tendencia con el aumento en el número de clientes únicos que informaron intentos de ataque de fuerza bruta que fueron bloqueados mediante la tecnología para la detección de ataques de red de ESET.

Hoy en día, un gran porcentaje del trabajo de “oficina” se realiza a través de dispositivos hogareños con colaboradores que acceden a sistemas confidenciales de la empresa a través del Protocolo de Escritorio Remoto (RDP, por sus siglas en inglés) de Windows, una solución creada y patentada por Microsoft para permitir la conexión a la red corporativa desde computadoras remotas. Pese a la creciente importancia de los servicios de acceso remoto, las organizaciones a menudo descuidan su correcta configuración y protección. Los colaboradores usan contraseñas fáciles de adivinar y no hacen uso de capas adicionales de autenticación o protección, lo que hace que sea más sencillo para los ciberdelincuentes comprometer los sistemas de una organización.

Los cibercriminales suelen llevar a cabo ataques de fuerza bruta dirigidos a redes mal aseguradas, elevar sus permisos a nivel de administrador, y luego deshabilitar o desinstalar soluciones de seguridad para finalmente ejecutar un ransomware que cifre datos que son cruciales para la víctima.

Según datos de la telemetría de ESET (ver Figura 1), hay un notorio incremento en el número de clientes únicos que reportaron un intento de ataque vía RDP.
Para abordar el riesgo que supone el aumento en el uso de RDP, los investigadores de ESET idearon una nueva capa de detección que está oculta dentro del motor de ESET Network Attack Protection y que está diseñada para bloquear los ataques de fuerza bruta entrantes provenientes de direcciones IP externas, contemplando tanto RDP como los protocolos SMB.

Llamada ESET Brute-Force Attack Protection, esta nueva capa de seguridad detecta grupos de intentos fallidos de inicio de sesión desde entornos externos, que sugieren un ataque de fuerza bruta entrante, y luego bloquea más intentos. Posteriormente, las direcciones IP correspondientes a los intentos de ataque más importantes se agregan a una lista negra que protege a millones de otros dispositivos de futuros ataques.

La nueva tecnología ha demostrado ser efectiva contra ataques tanto aleatorios como dirigidos. Para que funcione correctamente, debe estar habilitada en el servidor la opción RDP Network Level Authentication (NLA). Según los datos que aporta la telemetría de ESET, la mayoría de las IP bloqueadas entre enero y mayo de 2020 se detectaron en Estados Unidos, China, Rusia, Alemania y Francia.

Los países que tenían el porcentaje más grande de direcciones IP como objetivo fueron Rusia, Alemania, Japón, Brasil y Hungría (ver Figura 3).
Incluso con medidas de protección como ESET Brute-Force Attack Protection, las organizaciones deben mantener su acceso remoto configurado correctamente. Para ello,algunas recomendaciones son:

• Deshabilitar los servicios RDP expuestos a internet. Si eso no es posible, minimizar la cantidad de usuarios que pueden conectarse directamente a los servidores de la organización a través de Internet.

• Establecer como requisito contraseñas fuertes y complejas para todas las cuentas que pueden iniciar sesión a través de RDP.

• Usar una capa adicional de autenticación (MFA/2FA).

• Instalar una puerta de enlace de red privada virtual (VPN) como intermediaria para todas las conexiones RDP desde fuera de la red local.

• En el firewall perimetral, deshabilitar conexiones externas a máquinas locales en el puerto 3389 (TCP/UDP) o cualquier otro puerto RDP.

• Proteger el software de seguridad contra posibles alteraciones o desinstalaciones estableciendo una contraseña para hacer cambios en su configuración.

• Aislar cualquier computadora insegura u obsoleta a la que se deba acceder desde Internet utilizando RDP y reemplazarla lo antes posible.

• Consultar el artículo del investigador de ESET Aryeh Goretsky para obtener una descripción detallada de cómo configurar correctamente su conexión RDP.

• La mayoría de estas mejores prácticas aplican también a FTP, SMB, SSH, SQL, TeamViewer, VNC y otros servicios.

Ransomware, mineros de criptomonedas y backdoors

El cifrado de datos y la posterior extorsión no es el único escenario que podría seguir a un ataque vía RDP. Con frecuencia, los cibercriminales intentan instalar malware para minar criptomonedas o crear un backdoor, el cual puede ser utilizado por los atacantes en caso de que la víctima haya identificado y cerrado el acceso RDP no autorizado.

Otros escenarios comunes que se pueden presentar después del compromiso del RDP son:

• borrar archivos de registro, eliminando así la evidencia de actividad maliciosa previa,

• descargar y ejecutar en el sistema comprometido herramientas y malware según la elección del atacante,

• deshabilitar o borrar por completo las copias de seguridad programadas y las shadow copies, también conocidas como copias instantáneas,

• exfiltrar datos del servidor.

Esto demuestra la importancia de la seguridad de los accesos remotos, dado que incluso si el daño a la reputación de una organización se puede manejar, hay pérdidas financieras, operaciones estancadas y costosos esfuerzos de recuperación que deben tenerse en cuenta. Esto no considera los costos adicionales consecuencia de posibles sanciones que pueden emitir las autoridades de acuerdo con la legislación de protección de datos que aplique, como pueden ser el GDPR (UE), CCPA (California) o NDB (Australia).

ESET recomienda a las empresas gestionar los riesgos que plantea el uso generalizado del RDP u otros servicios similares reforzando sus contraseñas y agregando otras capas de seguridad adicionales, incluida la autenticación multifactor y una solución de seguridad que proteja contra ataques basados en RDP y protocolos similares.