Repuntan los ataques de ransomware usando RDP como vector de ataque

  • Endpoint

ransomware

Los atacantes han incrementado muy notablemente los ataques de fuerza bruta contra el protocolo de escritorio remoto en los últimos dos meses, la mayoría de los cuales se producen los fines de semana, que es cuando hay menos recursos destinados a monitorizar posibles incidentes.

Recomendados: 

Arquitecturas de Seguridad, ¿qué ventajas ofrecen? Webinar

Brechas de seguridad, ¿hay opciones? Webinar 

Tras revisar numerosos casos durante los últimos meses, no hay dudas de que el ransomware es una de las peores amenazas a las que nos podemos enfrentar en la actualidad. Tan solo con repasar los titulares relacionados con incidentes de ransomware en nuestro país observamos como en las últimas semanas han salido a la luz numerosos incidentes relacionados con esta amenaza, tales como los sufridos por el SEPE, el Ayuntamiento de Castellón, la empresa Phone House o la Universidad de Castilla - La Mancha.

El problema de los ataques de ransomware actuales es que los delincuentes utilizan un ataque de doble extorsión cuando tienen como objetivo a empresas y organizaciones importantes. En estos ataques, el ransomware es tan solo una de las piezas usadas por los delincuentes, ya que estos acostumbran a comprometer uno o varios equipos de una red corporativa, realizar movimientos laterales hasta alcanzar las máquinas objetivo, robar la información de estos sistemas y, finalmente, cifrarla para pedir un rescate, no solo para su recuperación, sino también para no hacerla pública.

Los delincuentes encargados de propagar ransomware suelen utilizar el email como uno de sus principales vectores de ataque. Sin embargo, desde el inicio de los confinamientos provocados por la pandemia hace poco más de un año hemos visto como los atacantes han incrementado muy notablemente los ataques de fuerza bruta contra el protocolo de escritorio remoto (RDP) que siguen utilizando muchos usuarios para acceder a las redes corporativas. En las detecciones realizadas por las soluciones de seguridad de ESET se puede observar cómo la tendencia sigue en aumento en nuestro país, notándose un importante incremento en los últimos dos meses.

Haciendo un seguimiento más detallado de las fechas cuando se producen este tipo de ataques, la gran mayoría se producen durante los fines de semana, que es cuando menos recursos suelen estar destinados a monitorizar posibles incidentes y es más fácil para los atacantes moverse por la red corporativa sin ser detectados. Esto representa un problema importante para todas las empresas y organizaciones que pueden encontrarse con que durante el fin de semana alguien ha conseguido acceder a su red interna, robar información confidencial y cifrarla para solicitar un rescate que suele ser de una cantidad bastante elevada.

“Evitar los ataques de fuerza bruta al RDP para desplegar ransomware u otro tipo de amenazas puede parecer algo complicado, pero en realidad es tan sencillo como establecer una política de contraseñas robustas que no puedan ser adivinadas fácilmente por los atacantes y, sobre todo, incluir una capa de doble factor de autenticación que dificulte la labor a los atacantes aun cuando estos consigan las credenciales usadas por los usuarios para acceder remotamente”, señala Josep Albors, responsable de investigación y concienciación de ESET España.