De acuerdo con el estudio “Data science for cybersecurity: A probabilistic time series model for detecting RDP inbound brute force attacks”, elaborado por Microsoft Defender ATP Research Team, los ataques de fuerza bruta de RDP o escritorio remoto duran en promedio de 2 a 3 días.
RDP es el Protocolo de Escritorio Remoto de Windows que permite a los usuarios iniciar sesión remota en una computadora o dispositivo, vía la dirección pública IP del dispositivo y el puerto 3389. Su uso es típico por los administradores de sistemas y personal de soporte para trabajar remotamente en servidores, estaciones de trabajo y otros dispositivos conectados en áreas remotas. Las computadoras con RDP expuesto a Internet son un objetivo atractivo para los atacantes porque presentan una forma simple y efectiva de obtener acceso a una red, sin requerir un alto nivel de experiencia o el uso de exploits.
El estudio de Microsoft para detectar ataques de fuerza bruta entrantes RDP, se apoyó con datos de inicio de sesión RDP en más de 45,000 dispositivos y estaciones de trabajo con ATP (Advanced Threat Protection) de Microsoft Defender. Los datos recopilados incluyeron detalles sobre los eventos de inicio de sesión RDP fallidos (ID 4265) y exitosos (ID 4264) y nombres de usuario utilizados por el usuario o atacante.
En promedio, varios cientos de máquinas por día tenían una alta probabilidad de sufrir uno o más intentos de ataque de fuerza bruta RDP.
Los atacantes suelen utilizar herramientas automatizadas que, mediante combinaciones de nombres de usuario y contraseñas, intentan el inicio de sesión RDP en el dispositivo objetivo. Se apoyan con bases de datos obtenidas de violaciones de seguridad a servicios en linea y que han sido filtrados públicamente o son vendidos en la red oscura.
De las máquinas con ataques de fuerza bruta detectados por Microsoft, los ataques duraron 2-3 días en promedio, con aproximadamente el 90% de los casos con una duración de 1 semana o menos, y menos del 5% con una duración de 2 semanas o más. Los ataques duraron días, en lugar de horas, porque los atacantes intentaron evitar que el firewall prohibiera la IP de ataque, utilizando pocas combinaciones por hora, en lugar de probar cientos o miles de combos de inicio de sesión a la vez.
A partir del análisis de Microsoft, de los cientos de máquinas con ataques de fuerza bruta RDP detectados, 0.08% estaban comprometidos. En todas las empresas analizadas, se detectó en promedio aproximadamente 1 máquina con una alta probabilidad de verse comprometida como resultado de un ataque de fuerza bruta RDP cada 3-4 días.
El Estudio de Microsoft concluye que el monitoreo de la actividad sospechosa en inicios de sesión fallidos y conexiones de red debe tomarse en serio.
Es recomendable que los administradores de sistemas monitoreen las siguientes señales para detectar ataques de fuerza bruta entrantes RDP por máquina:
- Hora del día y día de la semana de inicio de sesión fallido y conexiones RDP
- Tiempo de inicio de sesión exitoso luego de intentos fallidos
- Tipo de inicio de sesión de evento ID 4625 de inicio de sesión (filtrado a la red y remoto interactivo)
- Motivo de falla de evento ID 4625 (filtrado a %%2308, %%2312, %%2313)
- Recuento acumulativo de nombre de usuario distinto que no pudo iniciar sesión sin éxito
- Recuento (y recuento acumulativo) de inicios de sesión fallidos
- Recuento (y recuento acumulativo) de IP externa entrante RDP
- Recuento de otras máquinas que tienen conexiones entrantes RDP desde una o más de la misma IP