Los puntos finales de RDP no seguros atraen a bandas de ransomware

Para conectarse a sistemas remotos, el Protocolo de escritorio remoto (RDP) es una de las tecnologías más destacadas que se utilizan en la actualidad. Hay millones de sistemas con puertos RDP expuestos en línea, lo que convierte a RDP en un vector de ataque masivo entre los operadores de ransomware. RDP encabeza las listas Según Recorded Future, […]

Para conectarse a sistemas remotos, el Protocolo de escritorio remoto (RDP) es una de las tecnologías más destacadas que se utilizan en la actualidad. Hay millones de sistemas con puertos RDP expuestos en línea, lo que convierte a RDP en un vector de ataque masivo entre los operadores de ransomware.

RDP encabeza las listas

• Según Recorded Future, RDP es el método de intrusión más común utilizado por los actores de amenazas (para obtener acceso a computadoras con Windows e instalar malware) para la mayoría de los ataques de ransomware en 2020.

• Los ciberdelincuentes escanean Internet en busca de puntos finales RDP y luego realizan ataques de fuerza bruta contra varios sistemas, tratando de descifrar las credenciales del usuario. Los sistemas que utilizan nombres de usuario y contraseñas débiles se ven afectados y se ponen a la venta en las tiendas RDP, sitios web donde se vende a los atacantes el acceso a los sistemas pirateados.

El modus operandi

Aunque RDP se puede explotar de varias maneras, los atacantes se encuentran principalmente confiando en sistemas RDP ya expuestos.

• Al principio, utilizan herramientas de escaneo de puertos de código abierto para buscar puertos RDP expuestos en línea y luego intentan obtener acceso a un sistema utilizando herramientas de fuerza bruta o credenciales robadas compradas en mercados negros.
  
• Una vez que los atacantes obtienen acceso al sistema de destino, hacen que la red sea vulnerable al eliminar copias de seguridad, deshabilitar el software antivirus o cambiar la configuración.
  
• Después de deshabilitar los sistemas de seguridad y hacer que la red sea vulnerable, los atacantes entregan cargas útiles de malware. El proceso implica la instalación de ransomware, el uso de máquinas infectadas para distribuir spam, la implementación de registradores de pulsaciones de teclas o la instalación de puertas traseras para utilizarlas en futuros ataques.