Ciberataques de ransomware a empresas – ESCRITORIO REMOTO – REMOTE DESKTOP

Ciberataques de ransomware a empresas – ESCRITORIO REMOTO – REMOTE DESKTOP

Los ciberdelincuentes  utilizan varios metodos para conseguir dinero. En estos dias un gran porcentaje de los ataques que reciben las empresas se centran en ataques através de escritorio remoto. El modo que utilizan los ciberdelincuentes es como varias pirámides mafiosas que al final se traduce en pedir dinero a una empresa.

Con el buscador www.shodan.io se puede extraer un listado de IP mundiales (o por zonas geográficas) que tienen el puerto abierto 3389.  Ya pueden disponer de todas las IP del mundo con escritorio remoto habilitado.

Tenemos el concepto de ordenador zombie (bots – botnet) . También podríamos tener dispositivos IOT zombies. Son dispositivos que están a cargo de un grupo mafioso y que tienen controlado para realizar algunas tareas. Ejemplos de estos casos serían: Red de bots Mariposa   o bootnet Mirai  Los ciberdelincuentes que tienen acceso a estas redes pueden programar un ataque “fuerza bruta distribuida” a todas las maquinas del mundo con escritorio remoto.

El coste de estos 2 puntos no es demasiado elevado. Con conocimientos avanzados ya les bastaría. Y ya se encargan estos grupos mafiosos de estar al día para poder realizar su trabajo.

Siguiente punto: Una base centralizada de usuarios / contraseñas por diccionario y fuerza bruta. Pueden ir probando miles de combinaciones  a todas las IP con escritorio remoto y en cuanto consigan una credencial válida: se la guardan y a actuar.

El modo de actuación suele ser en fin de semana que no hay nadie trabajando en la empresa.

Acceden por escritorio remoto y ya es como si estuvieran sentados en el servidor de la oficina.

Siguiente paso : si hay antivirus en el servidor : botón derecho desactivar.

Siguiente paso: investigan el servidor a conciencia  y ven todas las carpetas de la red a la que tengan acceso y discos duros externos.

PENÚLTIMO PASO : Encriptan TODO TODO TODO lo que puedan : incluyendo copias de seguridad que tengan acceso desde el servidor ( unidades de red, disco duro externo..)

ULTIMO PASO : te pedirán dinero para desencriptar.

 

RECOMENDACIÓN : Tener un buen sistema de copias de seguridad y cuando se acceda a la información de la empresa desde fuera de la oficina : Utilizar una VPN.

 

 

3 Comments

  • Beneditto
    Posted 26/11/2017 22:46 0Likes

    interesante artículo

  • Genís Margarit
    Posted 29/11/2017 15:31 0Likes

    Felicitats! Gràcies per l’esforç en divulgar les amenaces de la xarxa.

Leave a comment

No se encontraron campos.

CONTROLIP © 2017 All rights reserved.