Los actores de amenazas están abusando de la función de acceso remoto del protocolo de escritorio remoto (RDP) de Windows ampliamente utilizada en sus cadenas de ataque a un ritmo sin precedentes desde la pandemia de Covid-19, según un nuevo análisis publicado por Sophos en su último Informe Adversario Activo, que exploró más de 150 casos de respuesta a incidentes a los que respondió su equipo X-Ops durante 2023.
Dijo que vio que la explotación del RDP se produjo en el 90% de los casos el año pasado, la tasa más alta observada desde el informe de 2021 que cubre datos de 2020, el punto álgido de la pandemia.
En un incidente, los atacantes lograron comprometer a la víctima no menos de cuatro veces durante un período de seis meses, y en cada caso obtuvieron acceso inicial a través de puertos RDP expuestos, que también fue el vector más común a través del cual los atacantes violaron las redes, que se encontró en el 65% de los casos. casos documentados.
Una vez dentro de la red de la víctima, los atacantes continuaron moviéndose lateralmente a través de su red, descargando archivos binarios maliciosos, desactivando las herramientas de seguridad cibernética que protegían sus puntos finales y estableciendo control remoto.
“Los servicios remotos externos son un requisito necesario, pero riesgoso, para muchas empresas. Los atacantes comprenden los riesgos que plantean estos servicios y buscan activamente subvertirlos debido a la recompensa que se esconde más allá”, dijo el CTO de campo de Sophos, John Shier.
“Exponer los servicios sin una cuidadosa consideración y mitigación de sus riesgos conduce inevitablemente a un compromiso. Un atacante no tarda mucho en encontrar y violar un servidor RDP expuesto y, sin controles adicionales, tampoco lo hace encontrar el servidor Active Directory que espera en el otro lado”.
Shier dijo que un aspecto importante de la gestión de riesgos (más allá de la mera identificación y priorización) era actuar sobre la base de la información disponible y, sin embargo, riesgos como los puertos RDP expuestos siguen afectando a las víctimas “para deleite de los atacantes”, lo que sugiere que demasiadas organizaciones simplemente no están pagando. atención.
“La gestión del riesgo es un proceso activo. Las organizaciones que hacen esto bien experimentan mejores situaciones de seguridad que aquellas que no lo hacen frente a amenazas continuas de atacantes determinados…. Proteger la red reduciendo los servicios expuestos y vulnerables y fortaleciendo la autenticación hará que las organizaciones sean más seguras en general y más capaces de derrotar los ataques cibernéticos”, dijo Shier.
La última edición de la serie Active Adversary también reveló que, si bien la explotación de vulnerabilidades y el uso de credenciales comprometidas son las causas fundamentales más comunes de los ataques cibernéticos, el uso de credenciales robadas se ha generalizado y ahora se observa en más del 50%. de los casos de respuesta a incidentes: la explotación de vulnerabilidades representó otro 30%.
Shier dijo que esto era una preocupación particular dado que en el 43% de los casos, las organizaciones no tenían la autenticación multifactor (MFA) configurada correctamente o no tenían ninguna.
Otras causas fundamentales menos comunes observadas por Sophos incluyeron ataques de fuerza bruta (3,9% de los casos), phishing (3,3%) y compromiso de la cadena de suministro (2,6%). En el 13,6% de los casos no fue posible identificar la causa raíz.
Los profesionales cibernéticos deben hacer más
Mirando retrospectivamente los datos de 2023, Shier escribió que, dado que la mayoría de los compromisos surgen de solo tres problemas clave (puertos RDP expuestos, falta de MFA y servidores sin parches) y la relativa facilidad para abordar estos tres problemas, se quedó con la sensación de que no se estaba haciendo lo suficiente para proteger a las organizaciones de daños y que, si bien algunas contaban con las protecciones necesarias, pocas estaban realmente prestando atención a la seguridad.
“A menudo, las únicas diferencias entre las organizaciones que sufren violaciones y las que no son, una, la preparación que implica seleccionar y poner en marcha las herramientas adecuadas y, dos, el conocimiento y la disposición para actuar cuando sea necesario”, escribió.
“Desafortunadamente, seguimos viendo los mismos errores que cometen los defensores cada año. Teniendo esto en cuenta, creemos que las organizaciones deben participar urgentemente en su propio rescate”, continuó Shier.
“Ninguna industria, producto o paradigma es perfecto, pero todavía estamos librando las batallas de ayer con, con demasiada frecuencia, el armamento de anteayer. La mayoría de las herramientas y técnicas descritas en este informe tienen soluciones, o al menos mitigaciones para limitar su daño, pero las defensas simplemente no están a la altura”.
Para concluir el informe, Shier dijo que podría resultar tentador para los profesionales cibernéticos sucumbir a la ira ante fallos demasiado frecuentes y evitables. “Decimos: no miren atrás con ira, esperen con ansias cómo pueden hacer cambios positivos hoy para un mejor mañana”.