Un grupo de hackers maliciosos está vendiendo acceso a las redes de cerca de 7500 organizaciones mediante diversos foros en dark web de habla rusa. La mayoría de las organizaciones afectadas brindan servicios de educación, aunque también se incluyen los accesos a compañías de entretenimiento, la industria de los bares, entre otras. Todas estas implementaciones son vulnerables a ataques de escritorio remoto (RDP).
El acceso se vende a través de una subasta, con una oferta inicial desde 25 Bitcoin (aproximadamente $330 mil dólares). Los interesados también pueden comprar todos los accesos sin entrar en la subasta a cambio de 75 Bitcoin (casi un millón de dólares).
Búsqueda de dispositivos afectados
Es complicado saber cuántos objetivos pueden ser víctimas de un ataque RDP, aunque es posible conocer un número aproximado usando el buscador IoT Shodan. Un análisis realizado por Cybernews arrojó resultados alarmantes:
Millones de dispositivos están abiertos al público, aunque esto no significa que todos ellos sean vulnerables a ataques RDP, puesto que algunas máquinas pueden contar con todas sus actualizaciones instaladas. Aún así, un porcentaje significativamente alto de los dispositivos analizados podrían ser objeto de estos ataques.
Mediante una técnica conocida como honeypot, los investigadores lograron detectar la frecuencia con la que los actores de amenazas explotan vulnerabilidades RDP, recolectando evidencia de más de 440 mil incidentes de seguridad en un plazo de siete semanas.
El puerto 3389 representa el protocolo RDP, lo que lo coloca entre los 3 puertos más atacados durante la investigación. Los puertos 5900 (VNC) y 445 (SMB) también son vectores de ataque populares entre la comunidad cibercriminal, usualmente explotados para obtener acceso inicial a redes corporativas.
El papel de las organizaciones en el combate a los ataques RDP
Son muchos los factores relacionados con el incremento de estos ataques, aunque el principal factor es la forma desmedida en la que han aumentado su presencia los grupos de ransomware y otras amenazas de seguridad. Por otra parte, aunque la instalación de parches de seguridad es uno de los métodos principales para corregir estos ataques, esta práctica no se ha generalizado en las organizaciones, que siguen operando sin parches de seguridad incluso durante años.
Una parte esencial del combate a estos ataques corresponde a las organizaciones, por lo que vale la pena recordar estos simples consejos que ayudarán a los administradores de sistemas a prevenir estos escenarios:
- Parchear las vulnerabilidades detectadas
- Verificar si sus máquinas tienen puertos RDP expuestos o que no estén actualizados
- Mantener sus redes y dispositivos protegidos con un firewall y soluciones antivirus altamente confiables
Encontrar estos accesos disponibles en foros de hacking es realmente común, por lo que es necesario que las organizaciones comiencen a tomar estos riesgos en serio.
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
