You have not selected any currencies to display

Bl0ckch41nnewsCredenciales comprometidas y acceso RDP, los canales más comunes del ransomware

Information security
Por bl0ckch41nnews
19


Según nuevos
datos de Sophos, el compromiso del protocolo de escritorio remoto (RDP) ha alcanzado niveles
récord en ataques de ransomware.

La empresa analizó 150 de sus casos de respuesta a incidentes de 2023 y
descubrió que el abuso de RDP se presentaba en el 90 % de ellos para brindar a
los actores de amenazas acceso remoto a entornos Windows.

Relacionados

Bl0ckch41nnewsCompilación de manuales y herramientas…

Bl0ckch41nnewsVulnerabilidad crítica de PAN-OS en…

Bl0ckch41nnews"Ver" personas a través de…

Sophos describió la
tasa de abuso de RDP como «sin precedentes»
y dijo que explicaba parcialmente por qué los servicios remotos externos eran
la forma más popular para que los actores de amenazas obtuvieran acceso
inicial en ataques de ransomware, lo que representó el 65% de los casos el año
pasado.

En un caso,
los atacantes lograron comprometer a la misma víctima cuatro veces en seis
meses a través de puertos RDP expuestos.
Una vez dentro, pudieron moverse lateralmente a través de sus redes,
descargando archivos binarios maliciosos, deshabilitando la protección de
endpoints y estableciendo acceso remoto, dijo Sophos.

RDP ofrece varias ventajas para los actores de ransomware:

  • Es extremadamente popular entre los administradores de red.
  • Los atacantes pueden abusar de él para acceder de forma remota sin activar
    ninguna alarma AV o EDR.
  • Ofrece una GUI fácil de usar.
  • El servicio a menudo está mal configurado, lo que significa que está
    expuesto públicamente y protegido sólo con credenciales fáciles de
    descifrar.
  • A veces se utilizan cuentas con privilegios elevados para RDP, lo que
    amplifica el daño que se puede causar.
  • Los administradores suelen desactivar funciones de seguridad como la
    autenticación a nivel de red.
  • Muchas organizaciones olvidan segmentar sus redes, lo que ayuda a los
    atacantes RDP

«Los servicios remotos externos son un requisito necesario, pero riesgoso,
para muchas empresas. Los atacantes comprenden los riesgos que plantean
estos servicios y buscan activamente subvertirlos debido a la recompensa que
se esconde detrás», argumentó John Shier, CTO de campo de Sophos.

Exponer los servicios sin una cuidadosa consideración y mitigación de sus
riesgos conduce inevitablemente a un compromiso. Un atacante no tarda mucho en
encontrar y violar un servidor RDP expuesto y, sin controles adicionales, para
luego también vulnerar servidores Active Directory que están del otro lado.

Si bien todos los ataques de ransomware tienen resultados negativos, aquellos
que comienzan explotando vulnerabilidades sin parches son particularmente
brutales para sus víctimas. Las organizaciones afectadas por ataques que
comenzaron de esta manera reportan resultados considerablemente más graves que
aquellas cuyos
ataques comenzaron con credenciales comprometidas, incluida una mayor propensión a:

  • Tener copias de seguridad comprometidas (tasa de éxito del 75% frente al 54%
    para credenciales comprometidas)
  • Tener datos cifrados (tasa de cifrado del 67% frente al 43% para
    credenciales comprometidas)
  • Pagar el rescate (tasa de pago del 71% frente al 45% para credenciales
    comprometidas)
  • Cubrir el costo total del rescate internamente (el 31% financió el rescate
    completo internamente frente al 2% para las credenciales comprometidas)
  • Costos generales de recuperación de ataques 4 veces mayores ($3 millones
    frente a $750.000 para credenciales comprometidas)
  • Tiempo de recuperación más lento (el 45% tardó más de un mes frente al 37%
    para las credenciales comprometidas)

El informe completo se puede descargar desde
aquí y
aquí.

Fuente: Infosecurity-Magazine



Source link

bl0ckch41nnews
También podría gustarte Más del autor

Los comentarios están cerrados.