La capacitat dels pirates informàtics per explotar gairebé qualsevol vulnerabilitat suposa un dels majors desafiaments a l'aplicació de la llei, així com a les petites empreses. L'Oficina Federal d'Investigació recentment va fer una advertència a les empreses i altres sobre una altra amenaça. Els hackers han començat a explotar el protocol d'escriptori remot (RDP) per dur a terme activitats malicioses amb major freqüència.
Segons l'FBI, l'ús del Protocol d'escriptori remot com a vector d'atac ha augmentat des de mitjans fins a finals de 2016. L'augment dels atacs de RDP ha estat en part impulsat pels mercats foscos que venen a l'accés a protocols d'escriptori remot. Aquests mals actors han trobat maneres d'identificar i explotar sessions de RDP vulnerables a través d'Internet.
$config[code] not foundPer a petites empreses que utilitzen RDP per controlar de forma remota els seus ordinadors d'origen o d'oficina, es requereix més vigilància, inclosa la implementació de contrasenyes fortes i la seva modificació regular.
En el seu anunci, el FBI adverteix: "Els atacs que utilitzen el protocol RDP no requereixen l'entrada de l'usuari, cosa que fa que les intrusions siguin difícils de detectar".
Què és el protocol d'escriptori remot?
Dissenyat per a l'accés i la gestió remota, RDP és un mètode de Microsoft per simplificar la transferència de dades d'aplicacions entre usuaris del client, dispositius, escriptoris virtuals i un servidor de terminal de protocol d'escriptori remot.
En poques paraules, RDP us permet controlar el vostre ordinador de manera remota per gestionar els vostres recursos i accedir a les dades. Aquesta característica és important per a petites empreses que no fan servir la informàtica en núvol i que es basen en els seus equips o servidors instal·lats a les instal·lacions.
Aquesta no és la primera vegada que RDP ha presentat problemes de seguretat. En el passat, les primeres versions tenien vulnerabilitats que els feien susceptibles a un atac home-mitjà en què els atacants no tenien accés no autoritzat.
Entre 2002 i 2017 Microsoft va publicar actualitzacions que van fixar 24 vulnerabilitats importants relacionades amb el Protocol d'escriptori remot. La nova versió és més segura, però l'anunci de l'FBI assenyala que els pirates informàtics encara la utilitzen com a vector d'atacs.
Hacking del protocol d'escriptori remot: les vulnerabilitats
L'FBI ha identificat diverses vulnerabilitats, però tot comença amb contrasenyes febles.
L'agència diu si utilitza paraules de diccionari i no inclou una combinació de lletres majúscules i minúscules, números i caràcters especials, la vostra contrasenya és vulnerable als atacs de força bruta i diccionari.
El protocols d'escriptori remot antiquats amb el protocol del proveïdor de suport de seguretat de credencial (CredSSP) també presenten vulnerabilitats. El CredSSP és una aplicació que delega les credencials de l'usuari del client al servidor de destinació per a l'autenticació remota. Un RDP antiquat permet fer llançaments potencials d'atacs humans.
Altres vulnerabilitats inclouen permetre l'accés sense restriccions al port del protocol d'escriptori remot predeterminat (TCP 3389) i permetre intents d'accés il·limitats.
Hacking de protocols d'escriptori remot: amenaces
Aquests són alguns exemples de les amenaces que enumera el FBI:
CrySiS Ransomware: CrySIS ransomware s'orienta principalment a empreses nord-americanes a través de ports RDP oberts, utilitzant atacs de força bruta i diccionari per obtenir accés remot no autoritzat. CrySiS llavors deixa anar el ransomware al dispositiu i l'executa. Els actors d'amenaces exigeixen el pagament a Bitcoin a canvi d'una clau de desxifratge.
Crypton Ransomware: CryptON ransomware utilitza atacs de força bruta per accedir a sessions RDP, i permet que un agent d'amenaces pugui executar programes maliciosos manualment a la màquina compromesa. Els actors cibernètics solen sol·licitar a Bitcoin a canvi d'indicacions de desxifratge.
Samsam Ransomware: Samsam ransomware utilitza una àmplia gamma d'exploits, inclosos els que ataquen màquines habilitades per RDP, per realitzar atacs de força bruta. Al juliol de 2018, els actors de l'amenaça de Samsam van utilitzar un atac de força bruta en les credencials d'inici de sessió de RDP per infiltrar-se en una empresa sanitària. El ransomware va poder encriptar milers de màquines abans de la detecció.
Dark Web Exchange: Els actors d'amenaces compren i venen credencials d'accés RDP robades a la web fosca. El valor de les credencials es determina per la ubicació de la màquina compromesa, el programari utilitzat en la sessió i els atributs addicionals que augmenten la usabilitat dels recursos robats.
Hacking del protocol d'escriptori remot: com podeu protegir-vos?
És important recordar que en qualsevol moment que intenteu accedir a alguna cosa de manera remota, hi ha un risc. I com que el protocol d'escriptori remot completament controla un sistema, hauríeu de regular, supervisar i gestionar qui tingui accés de prop.
Mitjançant la implementació de les següents pràctiques recomanades, el FBI i el Departament de Seguretat Nacional dels EUA asseguren que tenen millors possibilitats contra atacs basats en RDP.
- Activa contrasenyes fortes i polítiques de bloqueig del compte per defensar-se dels atacs de força bruta.
- Utilitzeu l'autenticació de dos factors.
- Apliqui regularment el sistema i les actualitzacions de programari.
- Tenir una estratègia de còpia de seguretat fiable amb un fort sistema de recuperació.
- Activa el registre i assegura els mecanismes de registre per capturar els inicis del protocol d'escriptori remot. Conserveu els registres durant un mínim de 90 dies. Al mateix temps, reviseu els inicis de sessió per garantir que només aquells amb accés els estiguin utilitzant.
Podeu fer un cop d'ull a la resta de les recomanacions aquí.
Els titulars de les infraccions de dades es troben en les notícies periòdicament, i està passant a grans organitzacions amb recursos aparentment il·limitats. Tot i que pot semblar impossible protegir la vostra petita empresa de totes les amenaces cibernètics que hi ha, podeu minimitzar el vostre risc i la vostra responsabilitat si teniu els protocols correctes en vigor amb una estricta governança per a totes les parts.
Imatge: FBI
