Buenos Aires, Argentina - ESET, compañía líder en detección proactiva de amenazas, analizó el crecimiento que han tenido los intentos de ataque al protocolo de escritorio remoto (RDP) en lo que va de 2020 en América Latina, su relación con el teletrabajo, por qué resulta de interés para los atacantes el RDP y cuáles son los países de la región que registran la mayor cantidad de equipos con el protocolo expuesto de forma pública.
Durante el tercer trimestre del 2020, los señuelos relacionados con el coronavirus disminuyeron en comparación con el primer trimestre, en los inicios de la pandemia, aunque otros peligros relacionados con la situación sanitaria tuvieron un incremento importante en los últimos meses, en especial los relacionados con el teletrabajo, según datos del último Informe de Amenazas de ESET.
En la primera mitad de 2020 se registró un aumento en la cantidad de intentos de ataque al RDP a nivel global, aumentó que se acentúo aún más en los últimos meses del año en curso. Las detecciones de intentos de ataques mediante fuerza bruta al RDP aumentaron 140% en el tercer trimestre de 2020 (un ataque de fuerza bruta ocurre cuando el atacante emplea determinadas técnicas para probar combinaciones de contraseñas con el objetivo de descubrir las credenciales de una potencial víctima y así lograr acceso a una cuenta o sistema), mientras los intentos de ataques en términos de objetivo únicos crecieron 37% con relación al periodo previo.
En América Latina los registros son similares a lo que ocurre en el orbe, con un crecimiento de los ataques de fuerza bruta durante el tercer trimestre del 141%, donde incluso en algunos breves periodos las detecciones rebasaron los veinte millones de intentos diarios, según datos de la telemetría de ESET.
Imagen 1. Aumento de intentos de ataque mediante fuerza bruta al RDP en Latinoamérica entre el segundo y el tercer trimestre de 2020.
En concordancia con esta tenencia global, los ataques de fuerza bruta a usuarios únicos crecieron 32% en la Latinoamérica durante el mismo periodo, donde en algunos días se alcanzaron los 12 mil registros únicos.
Imagen 2. Aumento de ataques a RDP a usuarios únicos en Latinoamérica entre el segundo y el tercer trimestre de 2020.
Los atacantes encuentran diversas motivaciones para comprometer la seguridad mediante el protocolo de escritorio remoto. Por ejemplo, que los accesos obtenidos pueden ser comercializados en el mercado negro, como una forma de monetizar sus actividades ofensivas. Los sistemas comprometidos pueden ser utilizados llevar a cabo más actividades maliciosas, como instalar herramientas adicionales en servidores, realizar movimientos laterales dentro de la red, mantener la persistencia, escalar de privilegios, descargar y ejecutar programas maliciosos (como ransomware o mineros de criptomonedas, por citar algunos ejemplos) o bien, para exfiltrar información.
Estas acciones pueden realizarse de forma directa por los perpetradores que logran obtener los accesos de forma ilegítima, o bien, por terceros que adquieren dichos accesos al pagar por ellos, independientemente de sus conocimientos o habilidades técnicas.
Además de los ataques de fuerza bruta, la explotación de vulnerabilidades es otra de las amenazas relacionada con las conexiones remotas y, en particular, al protocolo de escritorio remoto, comentan desde ESET. Desde su aparición en mayo de 2019, BlueKeep ha mantenido actividad importante.
A nivel global, se observa una disminución en el número de usuarios únicos relacionados con las detecciones de BlueKeep. Luego de un aumento del 18% en el segundo trimestre, la cantidad de intentos de ataque bloqueados contra esta vulnerabilidad se redujo en 21% durante el tercer trimestre. En cuanto a Latinoamérica, las detecciones mostraron un ligero incremento del 11% en los intentos de ataque utilizando este exploit, mientras que se presentó un decremento de 11% en los registros relacionados con usuarios únicos; ambos porcentajes durante el tercer trimestre de 2020 en comparación con el periodo previo.
Imagen 3. Detecciones de BlueKeep en Latinoamérica entre el segundo y el tercer trimestre de 2020.
Otra condición que podría explicar el incremento en el número de ataques al RDP es la cantidad de servicios que utilizan este protocolo y que se encuentran expuestos de manera pública en Internet. En un ejercicio de búsqueda de información realizado por el Laboratorio de Investigación de ESET se detectó que existe una importante cantidad de equipos con esta característica.
Con datos actualizados hasta finales del octubre del 2020, se destaca que en Latinoamérica es posible encontrar más 177,000 equipos bajo esta condición. La lista de los países con el mayor número de equipos con RDP público la encabeza por gran diferencia Brasil (96350), seguido por México (29075), Argentina (13348), Colombia (11098) y Chile (7845).
Miguel Ángel Mendoza, Investigador de seguridad de ESET Latinoamérica, comentó: “El teletrabajo motivó a un mayor número de sistemas conectados a Internet y al aumento de las conexiones remotas, así como el uso de aplicaciones que en ocasiones no están configuradas de forma segura, por lo que probablemente estas sean algunas de las razones que explican el hecho de que RDP siga siendo uno de los principales objetivos para los cibercriminales. Las condiciones son propicias para que los atacantes busquen obtener acceso a la infraestructura tecnológica de las organizaciones, especialmente de herramientas cada vez más utilizadas y posiblemente con deficiencias en las configuraciones, que, si bien resultan funcionales, podrían no ser las más seguras. En este contexto, es imperativo el uso de tecnologías de seguridad y la aplicación de estrategias de protección, en un ambiente de trabajo que depende cada vez más de los recursos remotos".
Para conocer más sobre seguridad informática ingrese al portal de noticias de ESET: https://www.welivesecurity.com/la-es/2020/11/30/aumentaron-ataques-fuerza-bruta-rdp-america-latina/