Al hablar de ransomware, probablemente a muchos les venga a la cabeza algunos de los ciberataques mediáticos acontecidos durante los últimos meses y que han afectado a grandes empresas, organismos gubernamentales e incluso hospitales. Resulta fundamental saber cuáles son las puertas de entrada que utiliza para acceder a las redes corporativas, robar información confidencial  y cifrarla para dejarla inaccesible.

Acceso mediante RDP

La posibilidad de acceder remotamente a un puesto de trabajo ubicado en una red corporativa es una funcionalidad que ha ayudado a empleados de muchas empresas a seguir trabajando de forma más o menos habitual, a pesar de los confinamientos y la promoción del teletrabajo que se ha realizado desde el inicio de la pandemia.

En el caso de que las empresas habiliten esta conexión remota, esta se realiza mediante una autenticación simple que pregunta por un usuario y una contraseña, aunque se puede fortalecer aplicando sistemas de autenticación multifactor.

El problema es que muchos de estos accesos mediante el protocolo RDP están configurados usando el puerto por defecto 3389 y se pueden identificar usando buscadores específicos como Shodan. Existen millones de máquinas que permiten este acceso remoto y esto supone millones de oportunidades para los delincuentes de acceder a una red corporativa.

Para acceder a estas redes corporativas mediante RDP los delincuentes pueden, por ejemplo, comprar credenciales que se hayan visto comprometidas previamente. Esto es algo que hacen varios tipos de ciberdelincuentes, no solo los que se dedican a robar información y cifrar los datos con un ransomware.

Sin embargo, el método más habitual para acceder mediante RDP a los equipos de una red siguen siendo los ataques de fuerza bruta. Una vez identificados aquellos que únicamente solicitan una autenticación simple mediante usuario y contraseña, es fácil para un atacante probar varias combinaciones de usuarios y contraseñas utilizando diccionarios de credenciales o incluso probando de forma aleatoria. 

Con este elevado número de ataques produciéndose todos los días y afectando a empresas y organizaciones de todos los sectores y tamaños, es importante adoptar medidas que bloqueen o al menos mitiguen este tipo de incidentes. Para ello, resulta indispensable tener constancia de cuántos dispositivos tienen acceso mediante RDP a los dispositivos dentro de la red corporativa.

Una vez identificados todos estos dispositivos es importante eliminar este acceso remoto a todos aquellos que no sean indispensables y realizar el acceso de aquellos que sí necesiten conectarse mediante una VPN, siempre que sea posible.

Email como vector de ataque

Que el correo electrónico sea uno de los vectores de ataque más antiguos usados por los delincuentes no significa que se utilice poco. Al contrario, en pleno 2021 sigue siendo la puerta de entrada preferida para propagar una gran variedad de amenazas, entre las que se encuentra el ransomware.

Los delincuentes que utilizan el email para propagar esta amenaza normalmente emplean algún tipo de documento adjunto con macros maliciosas incrustadas o enlaces para comprometer el sistema con un malware de primera fase. Este malware de primera fase suele estar compuesto por alguna variante de alguna botnet como puedan ser Trickbot, Qbot o Dridex.

Una vez este malware ha conseguido infectar el sistema, los delincuentes comienzan a realizar movimientos laterales en búsqueda de aquellas máquinas más interesantes, como pueden ser los controladores del dominio. Desde esas máquinas les resulta más fácil tratar de desactivar las soluciones de seguridad que serían capaces de detectar el payload final, en este caso el ransomware. También es posible que, dependiendo de los delincuentes, estos decidan robar información confidencial de la empresa para realizar una doble extorsión en el caso de que la víctima no quiera pagar por recuperar sus archivos.

A la hora de protegernos frente al ransomware que utiliza el email como vector de ataque es importante filtrar aquellos correos que resulten sospechosos y contengan ficheros adjuntos o enlaces con un buen filtro antispam. Se puede bloquear la descarga de cierto tipo de ficheros, pero como muchas veces se emplean documentos ofimáticos, esta medida puede ser contraproducente al bloquear también documentos legítimos.

También se puede reducir considerablemente el éxito de estos incidentes si se conciencia a los empleados y se les enseña a identificar o, al menos, sospechar de cierto tipos de correos. Es muy probable que algún usuario siga cayendo en las trampas preparadas por los delincuentes, pero solo con que parte de ellos alerte al servicio de soporte cuando detecte un correo sospechoso podría evitar males mayores.

Aprovechamiento de vulnerabilidades

Los agujeros de seguridad presentes en el sistema operativo y en las aplicaciones utilizadas son también otro de los vectores de ataque usados por los delincuentes para desplegar ransomware en redes corporativas. Sin embargo, y aunque ha habido casos sonados donde los delincuentes han usado exploits 0-day para conseguir su objetivo, lo más habitual es que se aprovechen de vulnerabilidades ya conocidas.

Durante los últimos meses hemos visto como los delincuentes han tratado de aprovechar vulnerabilidades descubiertas, precisamente, en VPNs. Debido al incremento del teletrabajo provocado por la pandemia, el uso de estas conexiones seguras ha crecido de forma significativa. Sin embargo, algunas de estas soluciones presentaban importantes fallos de seguridad que los delincuentes han sabido aprovechar para acceder a las redes corporativas.

Lo mismo podemos decir de todas aquellas herramientas colaborativas y de productividad que han visto aumentado su uso desde el inicio de los confinamientos el año pasado. Las vulnerabilidades en plataformas como Microsoft Exchange Server han sido aprovechadas por los atacantes para acceder a los sistemas y la red de las empresas, lo que ha permitido a los delincuentes robar todo tipo de datos y correos, así como también infectar sistemas de forma que pudieran acceder a la red comprometida durante largos periodos de tiempo.

Por los motivos expuestos, resulta fundamental para mantener una buena política de seguridad en nuestras redes actualizar tanto los sistemas como las aplicaciones utilizadas tan pronto como sea posible. De esta forma se limita las posibilidades que tienen los delincuentes de tener éxito, ya que se acorta la ventana de oportunidad de la que disponen para aprovechar los agujeros de seguridad descubiertos.

Peligros de la cadena de suministro

El ya mencionado ataque a Kaseya provocó que centenares de empresas de todo el mundo vieran sus sistemas comprometidos y la información que almacenaban cifrada. Esto fue posible debido a que los atacantes lograron comprometer aprovechando una vulnerabilidad 0-day uno de los principales software de gestión de entornos IT usados por los proveedores de servicios gestionados.

A pesar de que los ataques usando la cadena de suministros aún son la excepción a la regla, su número se ha venido incrementando en los últimos meses, lo que demuestra una peligrosa tendencia que puede provocar problemas incluso más graves en el futuro. Comprometer una de estas herramientas de gestión es como obtener la llave maestra a cientos, si no miles, de redes corporativas, algo que los delincuentes están deseando conseguir.

Debido a la confianza ciega que se suele tener tanto en este tipo de software de gestión como en los proveedores de servicios gestionados, es difícil que las empresas tomen medidas para protegerse de estos ataques que usan la cadena de suministro. Sin embargo, se puede mitigar su impacto utilizando una solución de seguridad adecuada en los equipos de la red, complementada con una solución EDR que permita dar visibilidad a las acciones sospechosas que se producen en ella.

Fuente:

https://blogs.protegerse.com/2021/08/10/estas-son-las-principales-puertas-de-entrada-que-usa-el-ransomware-para-infectar-a-sus-victimas/