El quebradero de cabeza que está siendo el Remote Desktop Protocol, o RDP, ya que los hacker estan usando en una mayoría estos sistemas para el acceso a las redes y han abandonado el resto de métodos de acceso.
Según hemos podido comprobar, los últimos ataques famosos como BlueKeep se han producido a través de RDP, no solo se trata de parchear esta amenaza concretamente sino de analizar el RDP entero y buscar un parche que reduzca todo tipo de amenaza a través de este sistema de acceso remoto.
Si hemos sabido que hay dispositivos habilitados para el uso de RDP, y en ese momento aparecen en Internet. Algunas investigaciones, han usado unos honeypots para poder comprobar si los ciberdelincuentes intentaban acceder a ella. En la investigación, encabezada por Sophos, hemos visto que en la colocación de diez honeypots en menos de un día ya había recibido intentos de inicio de sesión.
El RDP, expone los ordenadores en tal solo ochenta y cuatro segundos, registraron un total de 4.298.513 de intentos fallidos de acceso, en un total de 30 días, es decir, un intento cada seis segundos.
¿Cómo encuentran los cibercriminales estos RDP? Hay páginas web, que son buscadores de RDP abiertas, desde ahí los cibercriminales hackean una gran multitud de dispositivos. Por lo que, tenemos que reforzar la seguridad de estos accesos remotos.
Tenemos una serie de distintas técnicas, que usan los cibercriminales:
- El carnero, es una técnica que sirve para descubrir una contraseña de administrador, por ello en uno de los honeypots tenemos un informe que nos dice de 109.934 inicios de sesión con un mismo tipo de contraseña.
- El enjambre, usa una serie de nombres de usuario secuenciales, y un número determinado de las peores contraseñas. Por ejemplo, tenemos personas que usan el usuario ABrown, BBrown, CBrown, DBrown, con la intención de al usar el mismo patrón acabar sacando adelante la contraseña.
- El erizo, son ráfagas de actividad en las que se intenta descifrar la contraseña y el usuario, seguidos de un largo tiempo de inactividad.