Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe
Blog
/
Contención de Ransomware

Cómo detener los ataques de ransomware basados en RDP con Illumio

Ron Isaacson
,
Director Senior, Arquitectura Empresarial
January 7, 2022
23 min. lectura

Más del 90 por ciento de los ataques de ransomware se pueden prevenir, según Gartner. También son bastante predecibles hasta cierto punto, ya que los atacantes tienden a seguir uno de los pocos vectores de amenaza. El más popular es la explotación del Protocolo de Escritorio Remoto (RDP), que representó casi la mitad de los ataques en el tercer trimestre de 2021, según una estimación. 

La conclusión: si su organización puede mejorar en la paralización ataques de ransomware a través de RDP, tiene una gran posibilidad de minimizar el riesgo cibernético en todos los ámbitos.

La buena noticia es que Illumio ofrece visibilidad y control donde las organizaciones más lo necesitan: para entender dónde están más expuestos y luego implementar políticas a escala para restringir las comunicaciones RDP.

¿Qué es RDP?

RDP es un protocolo de Microsoft que permite a los usuarios de computadoras conectarse de forma remota a PCs y servidores. Se ejecuta en todos los servidores Windows, la ubicuidad, lo que también lo convierte en un objetivo principal para los ataques.

Los ataques RDP se dispararon durante la pandemia, cuando el uso de soluciones de acceso remoto por parte de los trabajadores domésticos también se disparó. Según un estudio, el volumen de dispositivos que exponen RDP a la Internet pública en los puertos estándar aumentó en más del 40 por ciento en un solo mes.

¿Cómo se abusa de RDP?

Hay varios factores que explican por qué RDP ataques de ransomware son tan exitosos.

Muchas organizaciones tienen poca visibilidad de su infraestructura de red de TI. Esto significa que es posible que no sepan cuántas rutas RDP están abiertas. Los ataques también aprovechan los desafíos comunes de seguridad corporativa, incluida la administración efectiva de parches y contraseñas.

Así es como funciona:

  1. Un atacante escaneará Servidores Windows con direcciones IP públicas y un puerto abierto 3389 (comúnmente utilizado para RDP).
  2. Una vez que se hayan localizado, el actor de amenazas buscará comprometer los servidores expuestos mediante:
  3. Explotación de vulnerabilidades de Microsoft que podrían permitirles eludir la autenticación RDP o ejecutar malware directamente a través de una conexión.
  4. Cuentas RDP de fuerza bruta protegidas sólo con credenciales débiles. A veces, estos intentos automatizados de adivinación de contraseñas se llevará a cabo durante varios días para evitar dar la alarma.
  7. Una vez que se ha logrado el acceso inicial, el atacante podría usar RDP u otras técnicas para moverse lateralmente a otros activos y datos. Eventualmente, habrá construido un punto de apoyo lo suficientemente grande en la red de la víctima como para implementar ransomware generalizado y/o robar datos confidenciales para extorsión.

Detener los ataques de ransomware RDP

La prevención de ataques de ransomware RDP se trata en parte de garantizar que los sistemas estén protegidos con parches actualizados y de activar la autenticación multifactor para mitigar los intentos de desencriptar contraseñas.

Pero lo que es más fundamental, se trata primero de entender dónde se ejecuta RDP en toda su organización y dónde puede cortar las conexiones sin afectar los procesos del negocio o la productividad. Bloquear el puerto 3389 en esos servidores será suficiente.

Reducir la superficie de ataque de esta manera puede ayudar a minimizar el número de posibles puntos de intrusión. También reducirá la oportunidad de que los atacantes aprovechen RDP para moverse a través de una red. Eso deja un número menor de servidores restantes para monitorear y asegurar con políticas de autenticación de mejores prácticas.

Cómo puede ayudar Illumio

Illumio ya está siendo utilizado por algunos de los más grandes y exigentes del mundo organizaciones para mitigar la amenaza de ransomware, incluyendo más del 10 por ciento de la lista Fortune 100. Ofrecemos el granular visibilidad necesita comprender dónde se produce la comunicación RDP y el control para bloquearla donde sea necesario.

El enfoque simple de tres pasos de Illumio para minimizar el riesgo de ransomware RDP es el siguiente:

  1. Mapear todos los servidores y conexiones RDP
  2. Identificar comunicaciones RDP esenciales y no esenciales
  3. Tome medidas con una implementación simple y rápida de políticas para restringir las comunicaciones no esenciales a escala

Para leer más consejos sobre las mejores prácticas sobre la mitigación del riesgo de ransomware y cómo Illumio puede ayudar a bloquear las amenazas, consulte nuestro nuevo libro electrónico, Cómo detener los ataques de ransomware.

Temas relacionados

No se han encontrado artículos.

Artículos relacionados

Detener el ransomware: vea sus amenazas con Illumio
Contención de Ransomware

Detener el ransomware: vea sus amenazas con Illumio

Leer más
Desmitificación de técnicas de ransomware usando ensamblados.NET: 5 técnicas principales
Contención de Ransomware

Desmitificación de técnicas de ransomware usando ensamblados.NET: 5 técnicas principales

Conozca 5 técnicas de ransomware que utilizan el marco de software .Net.

Leer más
Seguridad en el cielo: cómo las aerolíneas se acercan a la seguridad en tiempos turbulentos
Contención de Ransomware

Seguridad en el cielo: cómo las aerolíneas se acercan a la seguridad en tiempos turbulentos

Leer más
No se han encontrado artículos.

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Más información