Según nuevos datos de Sophos, el compromiso del protocolo de escritorio remoto (RDP) ha alcanzado niveles récord en ataques de ransomware.
La empresa analizó 150 de sus casos de respuesta a incidentes de 2023 y descubrió que el abuso de RDP se presentaba en el 90 % de ellos para brindar a los actores de amenazas acceso remoto a entornos Windows.
Sophos describió la tasa de abuso de RDP como “sin precedentes” y dijo que explicaba parcialmente por qué los servicios remotos externos eran la forma más popular para que los actores de amenazas obtuvieran acceso inicial en ataques de ransomware, lo que representó el 65% de los casos el año pasado.
En un caso, los atacantes lograron comprometer a la misma víctima cuatro veces en seis meses a través de puertos RDP expuestos. Una vez dentro, pudieron moverse lateralmente a través de sus redes, descargando archivos binarios maliciosos, deshabilitando la protección de endpoints y estableciendo acceso remoto, dijo Sophos.
RDP ofrece varias ventajas para los actores de ransomware:
- Es extremadamente popular entre los administradores de red.
- Los atacantes pueden abusar de él para acceder de forma remota sin activar ninguna alarma AV o EDR.
- Ofrece una GUI fácil de usar.
- El servicio a menudo está mal configurado, lo que significa que está expuesto públicamente y protegido sólo con credenciales fáciles de descifrar.
- A veces se utilizan cuentas con privilegios elevados para RDP, lo que amplifica el daño que se puede causar.
- Los administradores suelen desactivar funciones de seguridad como la autenticación a nivel de red.
- Muchas organizaciones olvidan segmentar sus redes, lo que ayuda a los atacantes RDP
“Los servicios remotos externos son un requisito necesario, pero riesgoso, para muchas empresas. Los atacantes comprenden los riesgos que plantean estos servicios y buscan activamente subvertirlos debido a la recompensa que se esconde detrás”, argumentó John Shier, CTO de campo de Sophos.
Exponer los servicios sin una cuidadosa consideración y mitigación de sus riesgos conduce inevitablemente a un compromiso. Un atacante no tarda mucho en encontrar y violar un servidor RDP expuesto y, sin controles adicionales, para luego también vulnerar servidores Active Directory que están del otro lado.
Si bien todos los ataques de ransomware tienen resultados negativos, aquellos que comienzan explotando vulnerabilidades sin parches son particularmente brutales para sus víctimas. Las organizaciones afectadas por ataques que comenzaron de esta manera reportan resultados considerablemente más graves que aquellas cuyos ataques comenzaron con credenciales comprometidas, incluida una mayor propensión a:
- Tener copias de seguridad comprometidas (tasa de éxito del 75% frente al 54% para credenciales comprometidas)
- Tener datos cifrados (tasa de cifrado del 67% frente al 43% para credenciales comprometidas)
- Pagar el rescate (tasa de pago del 71% frente al 45% para credenciales comprometidas)
- Cubrir el costo total del rescate internamente (el 31% financió el rescate completo internamente frente al 2% para las credenciales comprometidas)
- Costos generales de recuperación de ataques 4 veces mayores ($3 millones frente a $750.000 para credenciales comprometidas)
- Tiempo de recuperación más lento (el 45% tardó más de un mes frente al 37% para las credenciales comprometidas)
El informe completo se puede descargar desde aquí y aquí.
Fuente: Infosecurity-Magazine