Un ataque sofisticado está dirigiéndose a sistemas Windows Server utilizando Prometei, una botnet vinculada a Rusia que ha estado activa desde 2016. Este malware multifuncional combina la minería de criptomonedas, el robo de credenciales y capacidades de control remoto para mantener acceso a largo plazo en sistemas comprometidos. La botnet Prometei se infiltra en los sistemas explotando credenciales débiles o predeterminadas a través del Protocolo de Escritorio Remoto (RDP). 

El ransomware HardBit continúa evolucionando como una seria amenaza para organizaciones en todo el mundo. La última versión, HardBit 4.0, surgió como una variante mejorada de una cepa que ha estado activa desde 2022, trayendo consigo características más avanzadas y técnicas mejoradas para evitar la detección. 

Resulta que el fallo ocurre debido a que RDP acepta contraseñas que se han utilizado una vez y están almacenadas en caché. Debido a que Windows almacena estas contraseñas validadas, un atacante puede usar una de estas para acceder al sistema y esto funciona incluso para acceder a ordenadores nuevos con contraseñas antiguas validadas. Microsoft no va a arreglar esto y lo justifica indicando que así se "garantiza que al menos una cuenta de usuario pueda iniciar sesión aunque el PC se haya desconectado".

Conectarse a un dispositivo remoto, ver lo que le ocurre y hasta controlarlo a distancia son tres de las cualidades que poseen aplicaciones como TeamViewer, una de las más habituales en el apartado de escritorios remotos. Pero hay opciones gratuitas y desarrolladas en código libre tan buenas o mejores: Rustdesk me gustó por lo bien que funciona conectando mis dispositivos. Hasta puedo simular un Android dentro de un iPhone.

El tunelado TCP es útil porque puedes reenviar conexiones que no son sólo sitios web ejecutando HTTP(s). Los casos de uso donde esto se aplica es el reenvío de cosas como SSH, RDP o Postgres. Recientemente quise usar Cloudflare Tunnels para reenviar conexiones TCP para mi base de datos. Esto me permitiría acceder a mi base de datos desde cualquier parte del mundo usando un túnel seguro y protegido.

RDP Bitmap Forensics for DFIR InvestigationsRemote Desktop Protocol (RDP) es un protocolo ampliamente utilizado que permite a los usuarios conectarse remotamente y controlar otros ordenadores. Por muy cómodo que sea, el RDP también presenta retos y oportunidades únicos para los profesionales de la investigación forense digital y la respuesta a incidentes (DFIR). Uno de los aspectos menos conocidos pero valiosos del análisis forense de RDP implica el examen de los archivos caché de mapa de bits. En este post, exploraremos lo que implica el análisis forense de mapas de bits RDP y proporcionaremos un ejemplo práctico de cómo aprovechar esta técnica en una investigación DFIR.

Si alguna vez quieres acceder a tu PC de forma remota, probablemente hayas oído hablar de Chrome Remote Desktop. Es una extensión para Chrome que te permite conectarte a tu PC desde cualquier parte del mundo. Es una herramienta muy básica pero cumple su función, ya que te permite controlarlo fácilmente desde tu teléfono u otro ordenador. Sin embargo, hay alternativas que puedes utilizar que son definitivamente mejores, incluso si requieren un poco más de trabajo para ponerse en marcha

La cultura del trabajo desde casa, que experimentó un gran repunte durante la pandemia, ha impulsado el crecimiento de las herramientas de escritorio remoto, productividad y colaboración. Según TrustRadius, el tráfico de escritorios remotos se multiplicó por 16 durante la pandemia. Aunque las empresas se abran, es probable que esta tendencia siga siendo relevante, y por eso vamos a buscar formas de mejorar la seguridad mientras se accede a los sistemas remotos. El Protocolo de Escritorio Remoto (RDP, Remote Desktop Protocol) es un protocolo propietario de Microsoft que viene con una interfaz gráfica de usuario. Te permite conectarte y acceder a otros dispositivos de forma remota a través de Internet.

Ayer martes, el Ayuntamiento de Sevilla fue víctima de un ciberataque, presuntamente con ransomware, que ha dejado a la administración municipal paralizada y ha puesto en peligro la seguridad de los datos personales de los sevillanos, tras bloquear el servidor que da soporte a todos los servicios del Ayuntamiento.

 Una herramienta de S12 (si no lo conocéis os recomiendo que echéis un vistazo a su Github y Medium). Se trata de RDPCredStealerDLL escrita en C++ para robar credenciales introducidas en el login de una sesión de Escritorio Remoto (RDP) mediante API hooking usando la librería de Detours. 

Es ya muy conocido que los servicios de Escritorio Remoto (Remote Desktop Protocol o RDP por sus siglas en inglés) son utilizados ampliamente por los cibercriminales como puerta de entrada en sus ataques, tanto por las vulnerabilidades existentes en sistemas Windows como por la poca robustez de las credenciales usadas por muchos de los usuarios y las insuficientes defensas usadas en muchas infraestructuras, quedando expuestos ante cualquier ataque por fuerza bruta. A pesar de esto, cientos de miles de equipos siguen teniendo expuestos servicios de RDP en Internet sin ningún tipo de protección.

Los ataques de fuerza bruta al escritorio remoto de Windows siguen siendo una técnica muy común para infecciones de ransomware.

 Los atacantes que infectan con ransomware a sus víctimas, obtienen acceso principalmente mediante la explotación de conexiones de acceso remoto RDP poco seguras o mediante el uso de correos electrónicos de phishing cargados de malware. Así lo informa la firma de ciberseguridad Group-IB, con base en más de 700 ataques que el equipo de respuesta a incidentes de la compañía investigó en 2021. El monto promedio de rescate exigido en los ataques el año pasado fue de U$S 247.000, lo que fue un aumento del 45 % con respecto a 2020. El año pasado, el 63% de todos los ataques de ransomware que investigó la empresa involucraron la filtración de datos. 

Si eres un administrador de sistemas o redes, es muy probable que hayas tenido que entrar con escritorio remoto a uno de los ordenadores del trabajo para realizar alguna configuración en concreto. Lo mismo ocurre si quieres entrar al ordenador de algún familiar o amigo, e incluso a tus propios equipos para realizar una acción o simplemente apagarlos cuando los hemos dejado encendidos haciendo alguna tarea.  Veremos cómo puedes controlar tu ordenador de forma remota con el teléfono móvil, usando diferentes aplicaciones y plataformas.

Remmina es un cliente de escritorio remoto para sistemas operativos basados ​​en POSIX. Es compatible con los protocolos Remote Desktop Protocol, VNC, NX, XDMCP, SPICE y SSH.. Controlar remotamente cualquier ordenador es un aspecto fundamental hoy en día debido al teletrabajo, tanto para los usuarios domésticos, teletrabajadores, como también para los administradores de sistemas, que les permitirán controlar cualquier equipo de forma fácil y rápida. Poder conectarse a un ordenador de forma remota desde cualquier lugar ofrece a los usuarios una serie de ventajas que no pueden dejarse pasar, sin embargo, en ocasiones es algo complicado establecer las conexiones remotas debido a la gran cantidad de protocolos que existen actualmente.

mRemoteNG es uno de los programas más avanzados para realizar tareas de administración remotas en ordenadores y servidores. Este programa es compatible con sistemas operativos Windows, y nos permitirá administrar de manera muy fácil otros sistemas Windows, Linux y también macOS, ya que este programa incluye compatibilidad con una gran cantidad de protocolos de red diseñados para gestionar conexiones remotas.

La empresa de distribución de productos químicos Brenntag, con 17.000 empleados en todo el mundo, pagó un rescate de $ 4,4 millones en Bitcoin a la banda de ransomware DarkSide  para recibir un descifrador y recuperar los archivos cifrados y evitar que los actores de la amenaza filtraran públicamente 150 GB datos privados robados.

MobaXterm es uno de los programas para realizar tareas de administración en ordenadores y servidores más potente para sistemas operativos Windows. Este programa es una auténtica navaja suiza, al incorporar una gran cantidad de clientes para conectarnos a servidores, e incluso nos permitirá levantar servidores básicos en el equipo local para que se conecten a nosotros de forma fácil y rápida. Este programa ha sido diseñado por y para administradores de sistemas y redes

Primer fue el sonado caso del SEPE Servicio de Empleo Publico Estatal de España (SEPE) víctima del ransomware Ryuk que ha provocado miles de retraso en los pagos y muy recientemente, pero también en España, la Universidad de Castilla-La Mancha también ha sido víctima del mismo ransomware.

El ransomware es un tipo de malware que emplea el uso cifrado para secuestrar la información de la empresa víctima y solicitar un rescate. El cifrado asimétrico (clave pública) es una técnica criptográfica en la que se utilizan un par de claves para cifrar y descifrar un archivo. El delincuente genera de manera exclusiva el par de claves pública-privada para la víctima y almacena la clave privada para descifrar los archivos en su servidor. La víctima solamente podrá acceder a la clave privada tras el pago de un rescate. Utilizar un antivirus en estos casos no sirve absolutamente de nada.