Sophos y su enfoque del peligro en las conexiones remotas

Sophos y su enfoque del peligro en las conexiones remotas

Sophos presentó un estudio que revela cómo los cibercriminales trabajan para atacar a las empresas de forma insistente por medio del uso del protocolo de escritorio remoto (RDP, por sus siglas en inglés).

El RDP sigue siendo el sufirmiento de los administradores de sistemas. Por ello, la compañía Sophos ha informando cómo los cibercriminales explotan el RDP desde el año 2011, y que, en los últimos meses, los responsables de ataques de ransomware, como Matrix y SamSam, han decidido abandonar casi por completo el resto de los métodos de acceso inclinándose por el RDP.

Opinión de Expertos

Añl respecto Matt Boddy, experto en seguridad de Sophos, e investigador principal del informe, indica: “Recientemente, un fallo de ejecución del código remoto en RDP, denominado BlueKeep (CVE-2019-0708). Se trata de una vulnerabilidad tan delicada que podría ser utilizada con el fin de desencadenar un brote de ransomware capaz de extenderse por todo el mundo en cuestión de unas cuantas horas.

Pero, protegerse contra las amenazas de RDP va mucho más allá de buscar bloquear los sistemas previniendo el BlueKeep, este es considerado tan solo es la punta del iceberg. Además de tener cuidado con el, los responsables de TI en cada una de las compañias deben estar atentos al RDP en general porque, como demuestra la investigación de Sophos, los ciberdelincuentes están concentrados poniendo a prueba, con ataques enfocados en lograr contraseñas en ordenadores que son potencialmente vulnerables.

Conclusiones del Informe

La investigación de Sophos resalta cómo los ciberdelincuentes pueden hallar dispositivos habilitados para RDP literalmente al mismo tiempo que estos aparecen en Internet. Con el fin de demostrarlo, Sophos reconoció diez honeypots o cebos dispersos geográficamente y de baja interacción para medir y cuantificar los riesgos que vienen en el caso de los RDP.

Los principales hallazgos de la investigación muestran que:

•Los 10 honeypots recibieron su primer intento de inicio de sesión de RDP en tan sólo un día.

•El Remote Desktop Protocol expone los ordenadores en tan solo 84 segundos.

•Los 10 honeypots de RDP registraron un total de 4.298.513 intentos fallidos de inicio de sesión durante un período de 30 días. Esto significa aproximadamente un intento cada seis segundos.

•En general, el sector cree que los cibercriminales están usando sitios como Shodan para buscar fuentes de RDP abiertas, sin embargo, la investigación de Sophos destaca cómo los cibercriminales tienen sus propias herramientas y técnicas para encontrar fuentes de RDP abiertas y no necesariamente confían solo en sitios de terceros para encontrar accesos.

Los comportamientos de los ciberdelincuentes al descubierto
Sophos ha identificado ciertos patrones de ataque gracias a la investigación, entre los que se encuentran tres perfiles principales/características de ataque: el carnero, el enjambre y el erizo.

El Carnero

• Es una estrategia diseñada para descubrir una contraseña de administrador. Un ejemplo dado durante la investigación fue que, durante 10 días, un atacante realizó 109.934 intentos de inicio de sesión en el honeypot irlandés utilizando solo tres nombres de usuario para obtener acceso.

El Enjambre

•Utiliza nombres de usuario secuenciales y un número determinado de las peores contraseñas. En la investigación, hubo un ejemplo en París, con un atacante que usó como nombre de usuario ABrown en nueve intentos durante 14 minutos, después realizó otros nueve intentos con el nombre de BBrown, luego el de CBrown, después el de DBrown, y así sucesivamente. El patrón se repitió con A.Mohamed, AAli, ASmith y otros tantos.

El Erizo

•Se caracteriza por ráfagas de actividad seguidas de largos períodos de inactividad. Un ejemplo se pudo observar en Brasil, donde cada pico generado por una dirección IP, duró, aproximadamente, unas cuatro horas y consistió entre 3.369 y 5.199 averiguaciones de contraseña.

Compartir en:
Chat en vivo
Cerrar menú