• Cibercriminales priorizan sus ataques a través del protocolo de escritorio remoto (RDP).
  • Sophos registró más de 4 millones de intentos fallidos de inicio de sesión durante un período de 30 días en los 10 honeypots de protocolo de escritorio remoto (RDP). 
  • Además, identificó tres patrones de ataque basados en la investigación: Ram, Swarm y Hedgehog.
  • BlueKeep podría usarse para desencadenar un brote de ransomware que permitiría extenderse por todo el mundo en cuestión de horas.

Ciudad de México a 26 de agosto de 2019. Sophos, firma especializada en ciberseguridad, lanzó la investigación RDP expuesto: la amenaza que ya está en tu puerta, donde revela cómo los ciberdelincuentes intentan atacar a las organizaciones de forma incesante mediante el uso del protocolo de escritorio remoto, (RDP por sus siglas en inglés, Remote Desktop Protocol). 

De acuerdo con Sophos, RDP sigue siendo un dolor de cabeza para los administradores de TI, ya que en el último año, los ciberdelincuentes detrás de los ataques de ransomware más grandes como BitPaymer, Ryuk, Matrix y SamSam han abandonado casi todos los demás métodos de ingreso a la red para utilizar RDP.

Matt Boddy, especialista en seguridad de Sophos e investigador principal del informe, comentó que: “Protegerse contra las amenazas de RDP va mucho más allá de parchear los sistemas contra la vulnerabilidad de BlueKeep, ya que ésta puede ser tan grave que podría usarse para desencadenar un brote de ransomware que permitiría extenderse por todo el mundo en cuestión de horas. Los administradores de TI deben prestar mayor atención a RDP en general, porque los ciberdelincuentes están ocupados investigando 24/7 a todas las computadoras potencialmente vulnerables atacandolas adivinando contraseñas”.

La investigación de Sophos da a conocer lo fácil que es para los atacantes encontrar dispositivos habilitados para RDP tan pronto aparecen en Internet. Para ello, Sophos implementó 10 honeypots geográficamente dispersos y de baja interacción para medir y cuantificar los riesgos basados en RDP.

Los principales hallazgos de la investigación muestran que:

  • Los 10 honeypots recibieron su primer intento de inicio de sesión de RDP en un día.
  • El protocolo de escritorio remoto expone las PCs en sólo 84 segundos.
  • Los 10 honeypots de RDP registraron más de 4 millones de intentos fallidos de inicio de sesión durante un período de 30 días. Aproximadamente un intento cada seis segundos.
  • En general, la industria cree que los cibercriminales están usando sitios como Shodan para buscar fuentes abiertas de RDP, sin embargo, la investigación de Sophos destaca cómo los cibercriminales tienen sus propias herramientas y técnicas para encontrar fuentes abiertas de RDP y no necesariamente confían en sitios de terceros para encontrar acceso.

Comportamientos de los hackers

Sophos ha identificado patrones de ataque, de acuerdo a las características que presentan: 

  • Ram: es una estrategia diseñada para descubrir una contraseña de administrador. Un ejemplo de la investigación es que en el transcurso de 10 días, un atacante realizó cerca de 110 mil intentos de inicio de sesión en el honeypot irlandés utilizando solo tres nombres de usuario para obtener acceso.
  • Swarm: es una estrategia que utiliza nombres de usuario secuenciales y un número finito de las peores contraseñas. Un ejemplo de la investigación fue visto en París con un atacante que usaba el nombre de usuario ABrown nueve veces en el transcurso de 14 minutos, seguido de nueve intentos con el nombre de usuario BBrown, luego CBrown  y así sucesivamente. El patrón se repitió con A.Mohamed, AAli, ASmith y otros.
  • Hedgehog: se caracteriza por ráfagas de actividad seguidas de largos períodos de inactividad. Un ejemplo en Brasil reveló que cada pico generado por una dirección IP, duró aproximadamente cuatro horas y consistió entre 3 mil y 5 mil conjeturas de contraseña. 

“En la actualidad, hay más de tres millones de dispositivos accesibles a través de RDP en todo el mundo y ahora es el punto de entrada preferido por los ciberdelincuentes. Todos los honeypots creados por Sophos fueron descubiertos en unas pocas horas una vez expuestos a internet a través de RDP. Lo fundamental es reducir el uso de RDP siempre que sea posible y garantizar que la mejor práctica de contraseña esté vigente en toda la organización. Las empresas deben actuar en consecuencia para implementar el protocolo de seguridad adecuado para protegerse contra los atacantes implacables”, añadió Boddy.