Acceso a las redes de 7500 universidades y academias a la venta por 75 Bitcoin
Un grupo de hackers maliciosos está vendiendo acceso a las redes de cerca de 7500 organizaciones mediante diversos foros en dark web de habla rusa. La mayoría de las organizaciones afectadas brindan servicios de educación, aunque también se incluyen los accesos a compañías de entretenimiento, la industria de los bares, entre otras. Todas estas implementaciones son vulnerables a ataques de escritorio remoto (RDP).
El acceso se vende a través de una subasta, con una oferta inicial desde 25 Bitcoin (aproximadamente $330 mil dólares). Los interesados también pueden comprar todos los accesos sin entrar en la subasta a cambio de 75 Bitcoin (casi un millón de dólares).
Millones de dispositivos están abiertos al público, aunque esto no significa que todos ellos sean vulnerables a ataques RDP, puesto que algunas máquinas pueden contar con todas sus actualizaciones instaladas. Aún así, un porcentaje significativamente alto de los dispositivos analizados podrían ser objeto de estos ataques.
Mediante una técnica conocida como honeypot, los investigadores lograron detectar la frecuencia con la que los actores de amenazas explotan vulnerabilidades RDP, recolectando evidencia de más de 440 mil incidentes de seguridad en un plazo de siete semanas.
El puerto 3389 representa el protocolo RDP, lo que lo coloca entre los 3 puertos más atacados durante la investigación. Los puertos 5900 (VNC) y 445 (SMB) también son vectores de ataque populares entre la comunidad cibercriminal, usualmente explotados para obtener acceso inicial a redes corporativas.
Una parte esencial del combate a estos ataques corresponde a las organizaciones, por lo que vale la pena recordar estos simples consejos que ayudarán a los administradores de sistemas a prevenir estos escenarios:
