Ataques de fuerza bruta a RDP están en auge a partir de que el teletrabajo ha reconvertido la forma de acceder a la información de las empresas
Desde el inicio de la pandemia , el número de personas teletrabajando se disparó. Ahora, esta modalidad de trabajo se ha convertido en la nueva normalidad para muchas empresas en todo el mundo. Aunque este cambio fue impulsado por la actual pandemia del Covid-19, lo más probable es que en muchas organizaciones el teletrabajo haya llegado para quedarse como parte de la cultura empresarial.
Para facilitar el trabajo en remoto, muchas empresas confían en conexiones de escritorio remoto. Con estas conexiones, es posible acceder al escritorio del equipo de trabajo desde cualquier punto; de este modo, el empleado puede trabajar como si estuviera en la oficina. Sin embargo, traen consigo unos riesgos de seguridad muy graves.
Ataques de fuerza bruta a RDP
Una de las herramientas más populares para realizar esta conexión remota es RDP (Remote Desktop Protocol), un protocolo propietario de Microsoft que está disponible en todas las versiones de Windows a partir de XP.
En las últimas semanas, la cantidad de ataques de fuerza bruta contra las conexiones RDP ha aumentado de manera exponencial. Estos ataques son automatizados y tienen como objetivo hacerse con el control de los escritorios corporativos e infiltrarse en las redes. Con este control, un cibercriminal podría llevar a cabo la totalidad de operaciones de un empleado legítimo, pudiendo acceder a datos confidenciales y utilizar el email corporativo, algo que podría facilitar el spear phishing. Este aumento repentino seguramente esté relacionado con el número inaudito de teletrabajadores estos días.
Incluso antes de la situación actual, los intentos de ataque contra las conexiones RDP era un ciberataque común: rondaban los 150.000 intentos al día. Sin embargo, a principios de marzo, cuando empezaban las medidas de confinamiento más estrictas, se registraban casi un millón de intentos de ataque contra RDP cada día.
TrickBot facilita los ataques RDP
No es casualidad que, en marzo, el notorio troyano TrickBot añadiera un nuevo módulo— rdpScanDll—que se utiliza para llevar a cabo los ataques de fuerza bruta contra las conexiones RDP. Este módulo ha sido utilizado en ataques contra distintos objetivos, incluidas organizaciones en los sectores de educación y de servicios financieros.
Los peligros de este protocolo
Este aumento de ataques de fuerza bruta contra RDP no es el único problema de seguridad que ha experimentado este protocolo en los últimos años. En mayo de 2019, se descubrió una vulnerabilidad grave, llamada BlueKeep, en las versiones más antiguas del protocolo. Apenas un mes después de su descubrimiento, se empezó a ver una campaña activa que explotaba la vulnerabilidad. Luego en agosto del mismo año, se descubrieron cuatro nuevas vulnerabilidades en el protocolo.
Protege tu conexión RDP de ataques
Las conexiones RDP son un vector de ataque ideal para los cibercriminales: una conexión de este tipo poco protegida puede dar acceso a la totalidad de un sistema corporativo. Por este motivo, protegerla es una prioridad para toda empresa que está recurriendo a esta conexión para continuar con su actividad en estos días.
Para proteger el endpoint contra los ataques de fuerza bruta, es muy importante utilizar una contraseña segura y no reciclar las contraseñas viejas. Esto último punto es especialmente importante para evitar los ataques de relleno de credenciales – un ataque que intenta acceder al sistema con contraseñas recopiladas en antiguas brechas de datos, parecido a los ataques de fuerza bruta.
Ya que prescindir de estas conexiones no es una opción en estos momentos, es necesario tener la capacidad de monitorizar toda la actividad de los endpoints de la empresa y así encontrar cualquier actividad RDP sospechosa. Panda Adaptive Defense monitoriza de manera constante toda la actividad de todos los procesos del sistema. Además de parar cualquier proceso desconocido, monitoriza el comportamiento de los procesos conocidos para así detener cualquier uso malicioso de las herramientas legítimas.