Los principales exploits utilizados por las bandas de ransomware son errores de VPN, pero RDP sigue reinando



Suebsiri, Getty Images / iStockphoto Los ataques de ransomware dirigidos al sector empresarial han alcanzado un máximo histórico en la primera mitad de 2020. Si bien los grupos de ransomware operan cada uno en función de sus propias habilidades, la mayoría de los incidentes de ransomware en el primer semestre de 2020 se pueden atribuir a un puñado de vectores de intrusión que las pandillas parecen haber priorizado este año. Los tres métodos de intrusión más populares incluyen puntos finales RDP no seguros, phishing de correo electrónico y la explotación de dispositivos VPN corporativos.
En la parte superior de esta lista, tenemos el Protocolo de escritorio remoto (RDP). Los informes de Coveware, Emsisoft y Recorded Future colocan claramente a RDP como el vector de intrusión más popular y la fuente de la mayoría de los incidentes de ransomware en 2020. "En la actualidad, RDP se considera el vector de ataque más grande para el ransomware", dijo el mes pasado la firma de seguridad cibernética Emsisoft, como parte de una guía para proteger los terminales RDP contra bandas de ransomware.
Las estadísticas de Coveware, una empresa que proporciona servicios de negociación de rescate y respuesta a incidentes de ransomware, también respaldan esta evaluación; y la compañía clasifica firmemente a RDP como el punto de entrada más popular para los incidentes de ransomware que investigó este año. Imagen: Coveware Además, los datos de la empresa de inteligencia de amenazas Recorded Future también colocan a RDP firmemente en la cima. "El Protocolo de escritorio remoto (RDP) es actualmente por un amplio margen, el vector de ataque más común utilizado por los actores de amenazas para obtener acceso a computadoras con Windows e instalar ransomware y otro malware", escribió el analista de inteligencia de amenazas de Recorded Future, Allan Liska, en un informe publicado por última vez. semana sobre el peligro del ransomware para la infraestructura electoral de Estados Unidos.
Imagen: futuro grabado Algunos podrían pensar que RDP es el principal vector de intrusión para las bandas de ransomware debido a las configuraciones actuales de trabajo desde casa que muchas empresas han adoptado; sin embargo, esto es incorrecto e inexacto. RDP ha sido el principal vector de intrusión para las bandas de ransomware desde el año pasado, cuando las bandas de ransomware dejaron de apuntar a los consumidores domésticos y se movieron en masa hacia las empresas de destino. RDP es la mejor tecnología actual para conectarse a sistemas remotos y hay millones de computadoras con puertos RDP expuestos en línea, lo que convierte a RDP en un gran vector de ataque para todo tipo de ciberdelincuentes, no solo para bandas de ransomware.
Hoy en día, tenemos grupos de delitos informáticos especializados en escanear Internet en busca de puntos finales de RDP y luego llevar a cabo ataques de fuerza bruta contra estos sistemas, en un intento de adivinar sus respectivas credenciales. Los sistemas que utilizan combinaciones débiles de nombre de usuario y contraseña se ven comprometidos y luego se ponen a la venta en las llamadas "tiendas RDP", desde donde son comprados por varios grupos de delitos informáticos. Las tiendas RDP han existido durante años y no son algo nuevo.
Sin embargo, a medida que los grupos de ransomware migraron de dirigirse a consumidores domésticos a empresas el año pasado, las bandas de ransomware encontraron un grupo de sistemas RDP vulnerables fácilmente disponibles en estas tiendas, una combinación perfecta. Hoy en día, las bandas de ransomware son los clientes más importantes de las tiendas RDP, y algunos operadores de tiendas incluso han cerrado sus tiendas para trabajar exclusivamente con bandas de ransomware, o se han convertido en clientes de portales de Ransomware-as-a-Service (RaaS) para monetizar su colección de los propios sistemas RDP pirateados. Pero 2020 también ha visto el aumento de otro vector de intrusión de ransomware importante, a saber, el uso de VPN y otros dispositivos de red similares para ingresar a las redes corporativas. Desde el verano de 2019, se han revelado múltiples vulnerabilidades graves en los dispositivos VPN de las principales empresas de la actualidad, incluidas Pulse Secure, Palo Alto Networks, Fortinet, Citrix, Secureworks y F5. Una vez que el código de explotación de prueba de concepto se hizo público para cualquiera de estas vulnerabilidades, los grupos de piratas informáticos comenzaron a explotar los errores para obtener acceso a las redes corporativas. Lo que hacían los piratas informáticos con este acceso variaba, según la especialización de cada grupo.
Algunos grupos participaron en el ciberespionaje a nivel nacional, algunos grupos participaron en delitos financieros y robo de propiedad intelectual, mientras que otros grupos adoptaron el enfoque de "tiendas RDP" y revenden el acceso a otras pandillas. Si bien el año pasado se informaron algunos incidentes escasos de ransomware que utilizan este vector, fue en 2020 cuando vimos un número creciente de grupos de ransomware que utilizan dispositivos VPN pirateados como punto de entrada a las redes corporativas. En el transcurso de 2020, las VPN se elevaron rápidamente como el nuevo vector de ataque entre las bandas de ransomware, siendo las puertas de enlace de red Citrix y los servidores Pulse Secure VPN sus objetivos favoritos, según un informe publicado la semana pasada por SenseCy. Según SenseCy, se ha visto que bandas como REvil (Sodinokibi), Ragnarok, DoppelPaymer, Maze, CLOP y Nefilim utilizan sistemas Citrix vulnerables al error CVE-2019-19781 como punto de entrada para sus ataques. Imagen: Futuro grabado De manera similar, SenseCy dice que grupos de ransomware como REvil y Black Kingdom han aprovechado las VPN Pulse Secure que no han sido parcheadas para el error CVE-2019-11510 para atacar sus objetivos. Según Recorded Future, la última entrada en esta lista es la banda NetWalker, que parece haber comenzado a apuntar a los sistemas Pulse Secure para implementar sus cargas útiles en redes corporativas o gubernamentales donde estos sistemas podrían estar instalados.
Imagen: Futuro grabado Con una pequeña industria artesanal que se desarrolla alrededor de RDP y VPN pirateados en el subterráneo del ciberdelito, y con decenas de empresas y expertos en ciberseguridad que constantemente recuerdan a todos acerca de parchar y proteger estos sistemas, las empresas no tienen más excusas para ser pirateadas a través de estos vectores. Una cosa es que un empleado sea víctima de un correo electrónico de spear-phishing disfrazado inteligentemente, y otra cosa es no parchear su VPN o equipo de red durante más de un año, o usar admin / admin como sus credenciales de RDP. pags VER GALERÍA COMPLETA.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Una lista de conferencias de seguridad canceladas o pospuestas debido a preocupaciones de coronavirus

Resim
Getty Images / iStockphoto A medida que las conferencias tecnológicas y las ferias comerciales se cancelan, posponen o se vuelven virtuales de izquierda a derecha, muchos eventos de seguridad cibernética se enfrentan a un destino similar, todo debido a problemas de salud causados ​​por el nuevo coronavirus conocido como COVID-19. Los profesionales de la seguridad cibernética que no pudieron asistir a algunas de sus conferencias favoritas antes, principalmente debido a razones de tiempo, viaje o salud, pueden descubrir que algunos eventos ahora se transmiten y pueden ver sesiones desde la comodidad o su hogar o espacio de trabajo. La siguiente lista abarca una lista de los próximos eventos y su estado respectivo. Las conferencias que no figuran en la lista están programadas para continuar según lo planeado. La lista incluye solo cancelaciones, conferencias pospuestas o aquellos que anunciaron planes para transmitir su contenido. fuerte - 9 de marzo a 11 de marzo, Zurich - Estado ac...
Devamı

Las tasas de parches OEM de Android han mejorado, con Nokia y Google liderando la carga

Resim
Imagen: Dmitry Bayer Las actualizaciones de seguridad están llegando a los usuarios de Android de manera más rápida y confiable que en años anteriores. En una investigación publicada este mes, la firma alemana de ciberseguridad SRLabs dijo que la brecha del parche de Android se ha reducido de 44 días en 2018 a 38 días hoy. El término retraso de parche de Android, o brecha de parche, se refiere al tiempo desde que Google publica formalmente una actualización de seguridad en su sitio web, y hasta que un proveedor de teléfonos inteligentes (OEM o fabricantes de equipos originales) integra el parche en su firmware. SRLabs dice que recopiló información sobre retrasos en los parches utilizando su aplicación de escáner de seguridad SnoopSnitch instalada en más de 500,000 teléfonos inteligentes Android. Si bien la compañía informó que el retraso del parche se ha reducido en un 15% en los últimos dos años, la brecha del parche varió enormemente entre los proveedores de teléfonos inteligente...
Devamı