Tengo una historia divertida sobre ransomware. Verá, hace mucho tiempo (bueno, no tanto en tiempo real, pero sí hace mucho tiempo en la época del ransomware) tenía un laboratorio en la nube pública que fue atacado por ransomware. ¿Mi mejor suposición? Protocolo de escritorio remoto (RDP), también conocido como Protocolo de implementación de ransomware. Hay un nuevo ransomware en la ciudad llamado Venus Ransomware que utiliza este método de compromiso y, sorprendentemente, todavía funciona. Todo sobre Venus Ransomware Según Bleeping Computer, Venus existe desde agosto de 2022, por lo que es relativamente nuevo. Parece que Venus ingresa a los entornos a través de RDP, incluso cuando las organizaciones utilizan un número de puerto no estándar (¿realmente pensaste que eso iba a ayudar?). Cifra archivos con la extensión .venus, por lo que es agradable y fácil saber quién entró y causó el daño. No hay muchas otras noticias por ahí, aparte de que parece que cada vez más organizaciones están siendo afectadas. Pero ¿por qué vale la pena hablar de esto si es tan nuevo y hay tan poca información? El riesgo de RDP Dejaré aquí un enlace desde un blog de McAfee de 2020, que hablará sobre cómo los actores de amenazas están explotando activamente RDP. Sin embargo, no es un concepto nuevo, aunque RDP es uno de los protocolos más utilizados, también es del que más se abusa debido a esto. Seamos realistas, es más fácil exponer RDP a Internet para obtener acceso a nuestros entornos, sin importar dónde se encuentre: en las instalaciones o en la nube. Honestamente, probablemente sea peor en la nube cuando hablamos de mala gestión del RDP. Entonces, ¿por qué la gente lo hace? Como dije, es fácil, lo que nos devuelve al elemento humano de la ciberseguridad. ¿Qué es peor, un usuario que hace clic en un enlace o un administrador que abre RDP a Internet? Honestamente, ambas son formas sencillas para que los actores de amenazas entren, y ambas tienen el elemento humano en juego. Ninguna educación en ciberseguridad cambiará la forma en que operan los humanos. Hacen las cosas porque son más fáciles. A veces es más fácil simplemente hacer clic en el enlace porque parece legítimo, simplemente porque es más fácil abrir RDP a Internet. La única diferencia en el escenario RDP es que las personas que causan el problema son las que tendrán que solucionarlo. ¿Qué te parece eso de irónico? Asegurar RDP Una de las razones por las que vimos un aumento en este tipo de ataques en 2020 es bastante obvia. De repente, la gente necesitaba acceso remoto a los sistemas cuando de repente lo tenían, así que lo hicieron de la manera más rápida posible. Vale la pena leer este gran recurso en la guía de seguridad de Microsoft. Echemos un vistazo a un par de consideraciones clave. Acceso directo a través de Internet. Esto es algo malo y es la razón por la que estamos viendo problemas como Venus. Vulnerabilidades en sistemas expuestos. Históricamente, la aplicación de parches ha sido un problema para la mayoría de las organizaciones y lo seguirá siendo hasta el fin de los tiempos, seamos realistas. Estos dos son enormes, así que detengámonos ahí. Si exponemos a Internet sistemas que son vulnerables, tenemos problemas mayores que simplemente un sistema expuesto, o simplemente un sistema vulnerable. Cuando se trata de una estrategia de defensa contra el ransomware, no existe una única respuesta, no existe una única solución. Lo mejor que podemos hacer es comprender los riesgos en nuestro entorno para poder comenzar a tomar medidas para mitigarlos. Desafortunadamente, esto suele ser más fácil decirlo que hacerlo, y los grupos de ransomware como Venus están aquí para recordárnoslo.

Source link