Los piratas informáticos que propagan Ransomware se infiltran a través de RDP

Gracias a los expertos en seguridad de Sophos Peter Mackenzie y Paul Ducklin
por su trabajo entre bastidores en este artículo.

Si hay un nicho sin explotar causado por un software o comportamiento inseguro, tarde o temprano un delincuente se tambaleará e intentará usarlo como una forma de ganar dinero con la miseria de otra persona.

Sophos ha descubierto recientemente un nuevo nicho ecológico en la gran Internet-hack-o-sphere que es a partes iguales de poca astucia y franqueza: delincuentes que están introduciendo ordenadores de uno en uno y ejecutando ransomware en ellos de forma manual ( clic clic ) de la misma manera que puede ejecutar Word, Bloc de notas o Solitario.

Déjame hacer eso!

Normalmente pensamos en el ransomware como algo que se catapulta a las computadoras de las víctimas usando algún tipo de distribución masiva.

Por ejemplo, los delincuentes detrás de WannaCry y NotPetya utilizaron un exploit robado de la NSA para crear gusanos que se copiaban de una computadora a otra, encriptaban archivos, exigían rescates y creaban caos a medida que zigzagueaban entre redes.

Más común aún es el phishing . ¿Por qué molestarse con gusanos y exploits cuando simplemente puede registrarse para crimeware en línea y hacer clic en un botón para crear archivos adjuntos de correo electrónico con trampas explosivas?

El phishing es un juego de números: la mayoría de sus correos electrónicos no se transmitirán, muchos de los que sí lo hacen no se leerán, e incluso aquellos que se abran pueden toparse con una pared de ladrillos, un sistema parcheado, por ejemplo, o un usuario que se da cuenta de que algo phishy está sucediendo y se detiene justo antes de infectarse.

Los ladrones de phishing solo ganan dinero si pueden encontrar nuevas maneras de encontrar nuevas formas de persuadir a los usuarios para que abran correos electrónicos y hagan cosas que su equipo de TI les advirtió, como guardar archivos adjuntos en el disco y luego abrirlos , o abrir documentos de Office y habilitando deliberadamente macros .

Por esta razón, algunos ciberdelincuentes han decidido que si quieres que algo funcione correctamente, debes hacerlo tú mismo.

El ataque

Muchas empresas, en particular pequeñas empresas, subcontratan su TI o pagan mucha ayuda de contratistas externos.

Estos contratistas pueden vivir en otra parte de la ciudad, en otro lugar del país o incluso en el otro lado del mundo.

Para permitir que los administradores de sistemas remotos vean sus redes de Windows, la herramienta más utilizada es el propio Remote Desktop Protocol de Microsoft, o RDP para abreviar.

RDP, para aquellos que no lo han usado, refleja efectivamente la pantalla y el teclado de una computadora local en la laptop remota de su informático.

Cuando mueven su mouse en el software del cliente RDP muy lejos, el mouse se mueve en su computadora; cuando aparece un diálogo de software en su pantalla, lo ven en su computadora remota, es como estar allí mismo.

En otras palabras, la contraseña RDP que ha elegido para su sysadmin remoto (o que les ha dejado elegir por sí mismos) es esencialmente la clave de su oficina: una contraseña débil es como una puerta de la sala de servidores que está abierta, invitando a cualquier pasando snooper para echar un vistazo dentro.

Por lo tanto, si los ladrones se dan cuenta de que tiene RDP abierto a Internet, por ejemplo, usando un motor de búsqueda de red como Shodan , puede estar seguro de que lo molestarán.

Los expertos en seguridad de Sophos que han investigado una serie de ataques RDP recientes a menudo han encontrado pruebas de que se utilizó una herramienta llamada NLBrute para probar una amplia gama de contraseñas RDP, un llamado ataque de fuerza bruta, con la esperanza de entrar furtivamente.

Una vez que hayan obtenido su contraseña de RDP, ya sea que utilicen NLBrute , o simplemente busquen en Facebook para encontrar su fecha de nacimiento y el nombre de su mascota, NLBrute sesión e inmediatamente crearán nuevas cuentas administrativas.

De esta forma, incluso si se deshace de los delincuentes y cambia su propia contraseña de administrador, ya tiene cuentas de respaldo que pueden usar para volver a ingresar más tarde.

¿Qué sigue?

Una vez que están dentro, esto es lo que puede esperar que ocurra a continuación, en función de lo que hemos visto en una serie de ataques que hemos investigado:

  • Los delincuentes descargan e instalan software de ajuste de sistema de bajo nivel, como la popular herramienta Process Hacker.

Las herramientas de este tipo son utilizadas regularmente por los administradores de sistemas legítimos para la resolución de problemas y la recuperación de emergencia, especialmente si usan controladores de kernel para permitirte realizar modificaciones que el sistema operativo normalmente evita. Esto incluye: eliminar los procesos que generalmente no permiten el apagado, eliminar los archivos bloqueados y cambiar las configuraciones que normalmente están bloqueadas.

  • Los ladrones apagan o reconfiguran el software anti-malware, utilizando las herramientas de ajuste recién instaladas.

Los ladrones van tras las contraseñas de las cuentas de administrador para que puedan disfrutar de todo el poder de un administrador de sistemas legítimo. Si no pueden obtener una contraseña de administrador, pueden intentar iniciar sesión como un usuario normal y ejecutar herramientas de piratería que intentan aprovechar las vulnerabilidades sin parche para obtener lo que se denomina EoP o elevación de privilegios.

EoP significa que los usuarios que ya iniciaron sesión pueden promocionarse furtivamente a cuentas más potentes para aumentar sus poderes. Hemos visto herramientas de EoP abandonadas en sistemas atacados que intentaban abusar de las vulnerabilidades llamadas CVE-2017-0213 y CVE-2016-0099, parcheadas por Microsoft en mayo de 2017 y marzo de 2016, respectivamente.

  • Los ladrones desactivan los servicios de bases de datos (por ejemplo, SQL) para que los archivos vitales de la base de datos puedan ser atacados por malware.

Los archivos como las bases de datos SQL generalmente están bloqueados mientras el software del servidor de la base de datos está activo, como precaución contra la corrupción que podría ser causada por el acceso simultáneo de otro programa. El efecto secundario de esto es que el malware tampoco puede tener acceso directo a los archivos de la base de datos, y por lo tanto no puede mezclarlos para mantenerlos en rescate.

  • Los ladrones desactivan Volume Shadow Copy (el servicio de copia de seguridad en vivo de Windows) y eliminan los archivos de copia de seguridad existentes.

Las instantáneas actúan como copias de seguridad en línea en tiempo real que pueden hacer que la recuperación del ransomware sea un proceso rápido y fácil. Es por eso que los ladrones a menudo buscan primero copias sombra para eliminarlas.

Puedes imaginarte lo que pasa a continuación.

  • Los delincuentes cargan y ejecutan ransomware de su elección.

Debido a que han usado sus poderes de administrador de sistemas para manipular el sistema de modo que sean lo más inseguros posible, a menudo pueden usar versiones anteriores de ransomware, quizás incluso variantes que otros ladrones han abandonado y que ahora están flotando por Internet "de forma gratuita. ".

Los delincuentes no tienen que preocuparse por usar el último y mayor malware, o configurar un servidor de comando y control, o ejecutar una campaña de spam de golpe y esperanza.

En un ataque, vimos una carpeta en el escritorio que contenía cuatro tipos diferentes de ransomware. Los ladrones corrieron uno por uno, hasta que uno de ellos trabajó.

¿Cuánto es el rescate?

Muchos ataques de ransomware se distribuyen indiscriminadamente y, por lo tanto, se basan en una "página de pago": un servidor web oscuro configurado especialmente para informar a las víctimas cuánto deben pagar y cómo pagarlo.

Pero estos delincuentes RDP ya están involucrados personalmente en la medida de iniciar sesión en su red, por lo que a menudo hay lo que podría llamar un "toque personal".

En lugar de exprimirte automáticamente a través de un sitio web, probablemente verás una ventana emergente como esta, indicándote que te pongas en contacto por correo electrónico para "negociar" el lanzamiento de tus datos:

En el momento de escribir, la dirección de Bitcoin utilizada por ese atacante contenía BTC 9.62, que actualmente vale un poco más de $ 60,000.

Solo una de las transacciones coincidió con el monto de 1BTC exigido en el rescate, lo que podría indicar que la cuenta se está utilizando para otras actividades al mismo tiempo, o que algunas víctimas lograron negociar un precio más bajo.

Las victimas

Las víctimas de este tipo de ataque son casi siempre pequeñas y medianas empresas: el negocio más grande en nuestra investigación tenía 120 empleados, pero la mayoría tenía 30 o menos.

A pequeña escala, depende de proveedores de TI externos o de generalistas de TI que tratan de administrar la ciberseguridad junto con muchas otras responsabilidades.

En un caso, una víctima fue atacada en repetidas ocasiones debido a una contraseña débil utilizada por una aplicación de un tercero que exigía acceso de administrador de 24 horas para su personal de soporte.

¿Qué hacer?

  • Si no necesita RDP, asegúrese de que esté desactivado. Recuerde verificar cada computadora en la red: RDP se puede usar para conectarse a servidores, computadoras de escritorio y computadoras portátiles.
  • Considere usar una red privada virtual (VPN) para conexiones desde fuera de su red. Una VPN como la de Sophos XG Firewall y Sophos UTM requiere que los usuarios externos se autentiquen primero con el firewall y se conecten desde allí a los servicios internos. Esto significa que software como RDP nunca necesita estar expuesto directamente a Internet.
  • Use la autenticación de dos factores (2FA) siempre que pueda. Sophos XG Firewall y Sophos UTM son compatibles con 2FA, por lo que necesita un código de inicio de sesión único por vez. Si los delincuentes roban o adivinan su contraseña, no sirve de nada.
  • Parche temprano, parche a menudo. Esto evita que los ladrones exploten vulnerabilidades contra su red lo más rápido posible, reduciendo así su exposición al peligro.
  • Después de un ataque, verifique qué han cambiado los ladrones. No solo elimine el malware o aplique los parches perdidos y termine con él. Revise especialmente las aplicaciones adicionales, las configuraciones de seguridad alteradas y las cuentas de usuario recién creadas.
  • Establezca una política de bloqueo para limitar los ataques de adivinación de contraseñas. Con tres conjeturas a la vez seguidas por un bloqueo de cinco minutos, un ladrón solo puede probar 12 × 3 = 48 contraseñas por hora, lo que hace que un ataque de fuerza bruta sea poco práctico.

Si está utilizando una empresa de TI de terceros y aún no le han sugerido las precauciones que hemos enumerado anteriormente, ¿por qué no preguntarles por qué y pregúntese si son las personas adecuadas para cuidar su red?

Tenga cuidado: no permita que el protocolo de escritorio remoto para su equipo de TI se convierta en un proceso de implementación de Ransomware para delincuentes.