MADRID, 25 (Portaltic/EP)

Los cibercriminales están intentando atacar a las empresas mediante el uso del protocolo de escritorio remoto (RDP, por sus siglas en inglés) como BlueKeep, una vulnerabilidad capaz de desencadenar un ataque de tipo 'ransomware' en todo el mundo y contra las redes corporativas en unas horas.

Según recoge el estudio 'El RDP Expuesto: La Amenaza Que Ya Está En Tu Puerta', de la compañía de ciberseguridad Sophos, en el último año los grupos de ciberdelincuentes que se encontraban detrás de dos de los mayores ataques de 'ransomware', como fueron Matrix y SamSam, han abandonado casi por completo el resto de métodos de acceso a las redes en favor del uso del RDP.

BlueKeep (CVE-2019-0708) es "un fallo de ejecución del código remoto en RDP", como explica el experto en seguridad de Sophos, e investigador principal del informe, Matt Boddy, "que podría utilizarse para desencadenar un brote de 'ransomware' que podría extenderse por todo el mundo en cuestión de horas".

Sin embargo, como señala el analista, parchear los sistemas no es suficiente para protegerse de las RDP, y advierte que los responsables de TI de las empresas "deben prestar mayor atención al RDP en general" porque "los ciberdelincuentes están ocupados 24/7 poniendo a prueba a todos los ordenadores que son potencialmente vulnerables y que están expuestos por el RDP".

La investigación sobre RDP de Sophos destaca cómo los atacantes pueden encontrar dispositivos habilitados para RDP casi al mismo tiempo que estos dispositivos aparecen en Internet. En su investigación, Sophos implementó diez 'honeypots', o cebos dispersos geográficamente y de baja interacción, para medir y cuantificar los riesgos que provienen en el caso de los RDP.

Los diez 'honeypots' recibieron su primer intento de inicio de sesión de RDP en tan sólo un día, y durante un periodo de 30 días, registraron un total de 4.298.513 intentos fallidos de inicio de sesión, es decir, un intento cada seis segundos, aproximadamente.

El estudio recoge también que el protocolo de escritorio remoto expone los ordenadores en tan solo 84 segundos.

LOS COMPORTAMIENTOS AL DESCUBIERTO

La investigación de Sophos ha identificado ciertos patrones de ataque gracias, entre los que se encuentran tres perfiles principales: el carnero, el enjambre y el erizo.

El carnero (ram) es una estrategia diseñada para descubrir una contraseña de administrador. Un ejemplo dado durante la investigación fue que, durante diez días, un atacante realizó 109.934 intentos de inicio de sesión en el 'honeypot' irlandés utilizando solo tres nombres de usuario para obtener acceso.

Por su parte, el enjambre (swarm) es la técnica que utiliza nombres de usuario secuenciales y un número determinado de las peores contraseñas. En la investigación, se observó un ejemplo en París, con un atacante que usó como nombre de usuario ABrown en nueve intentos durante 14 minutos, después realizó otros nueve intentos con el nombre de BBrown, luego el de CBrown, después el de DBrown, y así sucesivamente. El patrón se repitió con A.Mohamed, AAli, ASmith y otros tantos.

El tercer tipo de comportamiento identificado, el erizo (hedgehog), se caracteriza por ráfagas de actividad seguidas de largos períodos de inactividad. Un ejemplo se pudo observar en Brasil, donde cada pico generado por una dirección IP duró, aproximadamente, unas cuatro horas y consistió de entre 3.369 y 5.199 averiguaciones de contraseña.

Hay más de tres millones de dispositivos accesibles a través de RDP en todo el mundo, como indica Boddy, que se han convertido en el "punto de entrada preferido por los ciberdelincuentes". El analista aconseja "reducir el uso del RDP siempre que sea posible" y "garantizar que en la empresa se tengan en cuenta las mejores prácticas respecto del uso de contraseñas".