Asimismo, se ha destacado que los servicios remotos externos han sido el principal método utilizado por los atacantes para infiltrarse en las redes
Los ciberdelincuentes han abusado del protocolo de escritorio remoto (RDP) en el 90% de los ataques. Además, ha resaltado que los servicios remotos externos como RDP han sido el modo más común con el que los atacantes han conseguido vulnerar las redes, siendo el método de acceso inicial en el 65% de los casos de IR en 2023.
Estas han sido las principales conclusiones del análisis que ha presentado Sophos sobre el panorama de los ciberataques en el primer semestre de 2024. El informe, basado en más de 150 casos de respuesta a incidentes, ha revelado el alto nivel de abuso del protocolo de escritorio remoto, el más alto registrado desde que Sophos comenzó a elaborar estos informes en 2020.
Al respecto, John Shier, CTO Field de Sophos, ha advertido «Los servicios remotos externos son un elemento necesario, pero arriesgado, para muchas empresas. Los atacantes saben los riesgos que plantean estos servicios y tratan activamente de sabotearlos dada la recompensa que se esconde tras ellos. Exponer servicios sin una especial atención y mitigación de riesgos conduce inevitablemente a un compromiso de las redes. A un atacante no le lleva mucho tiempo encontrar y vulnerar un servidor RDP expuesto y sin controles adicionales, ni tampoco encontrar el servidor de Directorio Activo que le espera al otro lado».
Acceso a través de puertos RDP
En un caso específico atendido por Sophos X-Ops, se descubrió que los atacantes comprometieron la red del cliente en cuatro ocasiones en seis meses, utilizando puertos RDP expuestos como punto de acceso inicial. Una vez dentro, los cibercriminales continuaron expandiéndose lateralmente a través de las redes empresariales, llevando a cabo diversas actividades maliciosas.
En este sentido, Shier ha afirmado que «gestionar el riesgo es un proceso activo. Las empresas que lo hacen bien experimentan mejores escenarios de seguridad que las que no lo hacen a la hora de afrontar las amenazas continuas lanzadas por atacantes con mucha determinación. Un aspecto importante de la gestión de los riesgos de seguridad, más allá de identificarlos y priorizarlos, es actuar en función de la información. A pesar de ello, y durante demasiado tiempo, ciertos riesgos como el RDP abierto siguen inundando de ataques a las empresas para deleite de los cibercriminales, que pueden entrar por la puerta principal. Asegurar la red reduciendo los servicios expuestos y vulnerables y reforzando la autenticación hará que las empresas mejoren sus niveles de seguridad y estén mejor preparadas para hacer frente a los ciberataques».
Por último, el informe ha destacado que las credenciales comprometidas y la explotación de vulnerabilidades siguen siendo las dos principales causas de los ataques. Las credenciales comprometidas, en particular, representaron el origen del 50% de los casos de respuesta a incidentes en 2023.
