Consejos para proteger la red del Ransomware Dharma
Fecha: 3 de Junio de 2020
Resumen:
Una solución muy popular para acceder a dispositivos empresariales de forma remota es el Protocolo de escritorio remoto (RDP), el cual permite a los trabajadores remotos acceder a sus estaciones de trabajo de Windows o servidores desde casa. Sin embargo, muchos de los servidores RDP utilizados para ayudar a los teletrabajadores están expuestos directamente a Internet y, cuando están mal configurados, exponen la red de la organización a ataques. En este tipo de ataque, las herramientas automatizadas se utilizan para introducir combinaciones de nombres de usuario y contraseñas de listas de credenciales previamente comprometidas, generadas aleatoriamente, o se utiliza credenciales de diccionarios. Una vez que los atacantes adivinan con éxito la combinación correcta, obtienen acceso completo a la máquina objetivo y, por lo general, utilizan este acceso para: robar información confidencial; instalar Malware, o moverse lateralmente dentro de la red de la organización para conseguir otros objetivos.
Por lo que sabemos, después de la transición masiva al trabajo en casa, lógicamente llegaron a la conclusión de que el número de servidores RDP mal configurados aumentaría, de ahí el aumento en el número de ataques". En los Estados Unidos, por ejemplo, el número de ataques de fuerza bruta contra servidores RDP orientados a Internet ha aumentado de 200.000 por día a principios de marzo a más de 1.200.000 a mediados de abril. Los ataques de fuerza bruta contra servidores con puertos RDP abiertos también se están utilizando como el vector de ataque inicial en los ataques Ransomware. Los ejemplos más recientes son los operadores humanos de los grupos Ransomware Dharma y DoppelPaymer que dirigen sus ataques a los servidores RDP expuestos y mal configurados de las empresas para implementar sus cargas maliciosas. Es importante mencionar que el uso de RDP para acceder a sus estaciones de trabajo o servidores de forma remota no es algo mal visto si estos servicios están protegidos contra ataques. Para ello, Kaspersky recomienda tomar las siguientes medidas:
1. Utilice contraseñas seguras.
2. El RDP debe estar disponible solo a través de una VPN corporativa.
3. Utilice la autenticación de nivel de red (NLA). Si es posible,
4. Habilite la autenticación de dos factores.
5. Si no utiliza RDP, desactívelo y cierre el puerto 3389.
Con el fin de protegerse de la variante DHARMA, o de cualquier otro Ransomware, es importante que utilice buenos hábitos informáticos y software de seguridad. Por último, pero no menos importante, asegúrese de practicar los siguientes buenos hábitos de seguridad en línea, que en muchos casos son los más importantes:
6. Tenga una copia de seguridad, sus respaldos deben estar comprobados y actualizados.
7. No abra archivos adjuntos si no sabe quién los envió.
8. Restringir el acceso RDP.
9. Asegúrese de que todas las actualizaciones de Windows están instaladas tan pronto como salgan.
10. Configurar un bloqueo de contraseña.
11. Utilice contraseñas complejas y nunca reutilice la misma contraseña en varios sitios.
12. Asegúrese también de actualizar todos los programas, en especial los programas antiguos contienen vulnerabilidades de seguridad que son comúnmente explotadas por los distribuidores de malware. Asegúrese de tener instalado un software de seguridad recomendado, el antivirus institucional es una nuestra primera línea de protección.
Referencias:
