Aumentaron 141% los ataques de fuerza bruta al RDP en América Latina

Los cambios provocados por la pandemia tuvieron un impacto en prácticamente todos los ámbitos, donde la ciberseguridad no fue la excepción. Sin duda, estos cambios representan nuevas oportunidades, retos, y, por supuesto, riesgos. A continuación, analizamos el crecimiento que han tenido los intentos de ataque al protocolo de escritorio remoto (RDP) durante el tercer trimestre en América Latina, su relación con el teletrabajo, por qué resulta de interés para los atacantes el RDP y cuáles son los países de la región que registran la mayor cantidad de equipos expuestos a este protocolo de manera pública.

Aumento de ataques de fuerza bruta al RDP.

Durante el tercer trimestre del 2020, los señuelos relacionados con el coronavirus disminuyeron en comparación con el primer trimestre, cuando inició la pandemia, aunque otros peligros que sí están relacionados con la situación sanitaria han tenido un incremento importante en los últimos meses, en especial los relacionados con el teletrabajo, aseguran datos del último Informe de Amenazas de ESET.Durante el primer semestre de 2020 se registró a nivel global un aumento en la cantidad de intentos de ataque al RDP, mientras que en el tercer trimestre esta tendencia se acentúo aún más. Asimismo, las detecciones de intentos de ataques mediante fuerza bruta al RDP aumentaron 140%, mientras los intentos de ataques en términos de objetivo únicos crecieron 37% con relación al periodo previo.

En América Latina, los registros son similares a lo que ocurre en el orbe, con un crecimiento de los ataques de fuerza bruta durante el tercer trimestre del 141%, tal como se muestra en la Imagen 1, donde incluso en algunos breves periodos las detecciones rebasaron los veinte millones de intentos diarios, según datos de la telemetría de ESET.

Continua la explotación de vulnerabilidades

Además de los ataques de fuerza bruta, la explotación de vulnerabilidades es otra de las amenazas relacionada con las conexiones remotas y, en particular, al protocolo de escritorio remoto. Desde su aparición en mayo de 2019, BlueKeep ha mantenido actividad importante.
El exploit relacionado con la vulnerabilidad CVE-2019-0708 identificada en Remote Desktop Services (RDP), permite la ejecución remota de código, por lo que busca ser aprovechada por atacantes de manera constante como una manera de comprometer los sistemas conectados a Internet de las potenciales víctimas.
A nivel global, se observa una disminución en el número de usuarios únicos relacionados con las detecciones de BlueKeep. Luego de un aumento del 18% en el segundo trimestre, la cantidad de intentos de ataque bloqueados contra esta vulnerabilidad se redujo en 21% durante el tercer trimestre.

¿Qué hacen los atacantes que usan el RDP como vector de ataque?

Diversas motivaciones encuentran los atacantes para comprometer la seguridad mediante el protocolo de escritorio remoto. Por ejemplo, que los accesos obtenidos pueden ser comercializados en el mercado negro, como una forma de monetizar sus actividades ofensivas.
Los sistemas comprometidos pueden ser utilizados llevar a cabo más actividades maliciosas, como instalar herramientas adicionales en servidores, realizar movimientos laterales dentro de la red, mantener la persistencia, escalar de privilegios, descargar y ejecutar programas maliciosos (como ransomware o mineros de criptomonedas, por citar algunos ejemplos) o bien, para exfiltrar información.

Fuente: welivesecurity.com

Comments are closed.