El software de acceso remoto ha sido una herramienta popular para administradores de TI, proveedores de servicios gestionados (MSP), empresas de SaaS y otros durante muchos años. Ofrece una forma invaluable de administrar y monitorear de forma remota múltiples puntos finales de TI y OT desde una única ubicación centralizada. Pero, al mismo tiempo, proporciona una forma poderosa para que los actores de amenazas eludan las defensas corporativas y accedan de forma remota a las redes de las víctimas.

Ya sean herramientas de acceso remoto (RAT), productos de gestión y monitoreo remoto (RMM) o soluciones de administración remota, el riesgo es el mismo. Es hora de cerrar una puerta trasera potencialmente peligrosa en los entornos de TI corporativos.

¿Qué son las RAT?

Herramientas como Atera, AnyDesk, ConnectWise y TeamViewer son muy conocidas en la comunidad de TI. Aunque se han utilizado durante años para ayudar a los administradores a solucionar problemas, configurar máquinas, aplicar parches a los puntos finales y más, las RAT realmente cobraron importancia durante la pandemia. Sin embargo, al mismo tiempo que los ataques a las herramientas de escritorio remoto aumentaron durante ese período, también fuimos testigos de un creciente interés en el software de acceso remoto como una forma de eludir las herramientas de seguridad.

Incluso se han utilizado en ataques dirigidos a individuos, donde se induce a la víctima a descargar uno en su PC o dispositivo móvil para proporcionar a un estafador acceso a sus cuentas bancarias y otras cuentas. Esto sucede con frecuencia en estafas de soporte técnico y, más recientemente, en una sofisticada campaña de suplantación de identidad del gobierno diseñado para robar los datos de las tarjetas de las víctimas.

¿Por qué son atractivas las ratas?

No debería sorprender que los actores de amenazas estén apuntando a estas herramientas en mayor número. Ofrecen una forma útil de mezclarse con herramientas y procesos legítimos, de manera similar a Ataques de vivir de la tierra (LOTL). Dado que el software de acceso remoto está firmado con certificados de confianza, no será bloqueado por herramientas antimalware o de detección y respuesta de endpoints (EDR). Otras ventajas para los adversarios incluyen el hecho de que el software de acceso remoto:

  • Puede tener privilegios elevados, lo que facilita el acceso inicial, la persistencia, el movimiento lateral, el acceso a recursos confidenciales y la exfiltración de datos.
  • Permite a los actores de amenazas realizar intrusiones sin necesidad de gastar tiempo y dinero en desarrollar malware como troyanos de acceso remoto (también abreviados como "RAT"), que las herramientas de seguridad pueden identificar.
  • Permite a los adversarios eludir las políticas de control de gestión de software e incluso ejecutar software no aprobado en la máquina objetivo.
  • Utiliza cifrado de extremo a extremo, lo que permite a los atacantes descargar archivos que de otro modo los firewalls corporativos impedirían.
  • Puede soportar múltiples ataques simultáneos, por ejemplo, a través de un MSP comprometido

Cómo los adversarios atacan el acceso remoto

Según el Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), los actores de amenazas pueden explotar versiones vulnerables del software de acceso remoto o usar cuentas legítimas comprometidas para secuestrar el uso de las herramientas. Alternativamente, podrían usar ingeniería social para que las víctimas descarguen software RMM legítimo o similar. En ataques más sofisticados, pueden apuntar a un proveedor de software de acceso remoto y manipular su software con actualizaciones maliciosas. También pueden usar PowerShell u otras herramientas legítimas de línea de comandos para implementar de forma encubierta un agente RMM en la máquina de la víctima.

En ocasiones, los actores de amenazas también utilizan software de acceso remoto junto con herramientas de pruebas de penetración como Cobalt Strike o incluso malware de acceso remoto para garantizar la persistencia. Una vez que tienen acceso a una red o máquina objetivo, pueden utilizar software de acceso remoto para:

  • Moverse lateralmente a través de la red de la víctima.
  • Encuentre listas de otros sistemas para el movimiento lateral
  • Establecer canales de mando y control (C2)

Tanto los grupos de ciberdelincuentes como los agentes de los estados nacionales están utilizando técnicas de este tipo para operaciones sofisticadas de robo de datos y ataques de ransomware. Se ha descubierto que estos ataques tienen como blanco a empleados del gobierno de Estados Unidos en estafas con motivaciones económicas. Un proveedor de seguridad ha también advertido sobre el uso “excesivo” de RAT de nivel no empresarial en entornos OT, lo que termina expandiendo la superficie de ataque de las organizaciones.

Su investigación revela que el 79% de las empresas tienen más de dos herramientas de este tipo instaladas en dispositivos de red OT. Como estos carecen de controles de acceso suficientes y funciones como la autenticación multifactor (MFA), están expuestos a ser pirateados por actores de amenazas.

En la naturaleza

Existen numerosos ejemplos de infracciones basadas en RAT con consecuencias graves en los últimos años. Entre ellos se incluyen:

  • En febrero de 2024, se detectaron vulnerabilidades en el software ScreenConnect sin parches fueron explotados en varias organizaciones para implementar malware en servidores y estaciones de trabajo con el software de acceso remoto instalado.
  • En febrero de 2022, la CISA y el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido advirtieron sobre un Campaña del grupo iraní APT MuddyWater que podrían haber tenido motivos financieros y de ciberespionaje. Los actores de la amenaza utilizaron ScreenConnect para el acceso inicial y el movimiento lateral.
  • En enero 2023, CISA advirtió de una campaña que utilizaba ScreenConnect y AnyDesk para llevar a cabo una “estafa de reembolso” a empleados del gobierno federal. La campaña utilizó técnicas de phishing para persuadir a las víctimas de que descargaran el software como ejecutables portátiles autónomos, lo que les permitía eludir los controles de seguridad.
  • En julio de 2024, un Se descubrió un proveedor de seguridad una versión modificada de la herramienta RMM de código abierto PuTTY (rebautizada como “KiTTY”) que podía eludir los controles de seguridad. La táctica permitió a los actores de la amenaza crear túneles inversos a través del puerto 443 para exponer servidores internos a una caja AWS EC2 bajo su control para robar archivos confidenciales.

Cómo mitigar los ataques de acceso remoto

La CISA enumera una serie de controles basados ​​en host y red y recomendaciones de políticas y arquitectura que podrían ayudar a generar resiliencia contra este tipo de ataques. Entre ellos se incluyen los siguientes:

  • Capacitación sobre concientización sobre phishing para empleados
  • Enfoques de confianza cero y privilegios mínimos para la seguridad de identidades y puntos finales
  • Monitoreo de SecOps para detectar actividad sospechosa
  • Gestión de la superficie de ataque externa (EASM) para una mejor visibilidad de los activos desconocidos y no administrados
  • Autenticación multifactor (MFA) para software de acceso remoto
  • Auditoría de software y configuraciones de acceso remoto
  • Controles de aplicaciones, incluidos los principios de confianza cero y la segmentación, para gestionar y controlar la ejecución del software
  • Aplicación continua de parches basados ​​en riesgos
  • Segmentación de la red para limitar el movimiento lateral
  • Bloqueo de conexiones entrantes y salientes en puertos y protocolos RMM comunes
  • Firewalls de aplicaciones web (WAF) para proteger el software de acceso remoto

Sin embargo, la agencia de seguridad también recomienda a las organizaciones “mantener una estrategia de gestión de riesgos sólida basada en estándares comunes, como el Marco de Ciberseguridad del NIST”. Javvad Malik, principal defensor de la concienciación sobre seguridad en KnowBe4, está de acuerdo.

"Las funciones principales del marco NIST proporcionan un enfoque integral para gestionar los riesgos de las herramientas RMM", explica a ISMS.online.

“Esto incluye mantener un inventario de sistemas con software RMM, aplicar una autenticación sólida, implementar análisis de comportamiento para la detección de anomalías, desarrollar manuales específicos de respuesta a incidentes y garantizar que los planes de continuidad empresarial tengan en cuenta las dependencias de las herramientas RMM”. Malik agrega que la norma ISO 27001 también puede ayudar a mitigar los riesgos del uso de software de acceso remoto.

“Los controles de la norma ISO 27001 sobre gestión de acceso, criptografía, seguridad de las operaciones y relaciones con los proveedores proporcionan una base sólida”, explica. “Por ejemplo, las organizaciones pueden implementar procesos formales de gestión de acceso a herramientas RMM, garantizar sesiones remotas cifradas y configurar alertas automáticas para actividades inusuales”.

Ian Stretton, director de EMEA en la consultora de ciberseguridad Green Raven, coincide en que “una ciberseguridad exitosa se basa en cimientos firmes como la ISO 27001”.

Le dice a ISMS.online que un principio clave de tales enfoques es implementar un monitoreo continuo respaldado por inteligencia de amenazas.

“Esto se pone aún más de relieve con la adopción de la IA por parte de los actores amenazantes como un desafío a las herramientas de defensa basadas en IA”, concluye Stretton.

“La implementación de herramientas como sistemas de detección de anomalías que monitorean específicamente comportamientos sospechosos en los procesos de IA (como errores de clasificación, cambios repentinos en la lógica de toma de decisiones u otros comportamientos) puede ayudar a combatir este tipo de amenaza basada en IA”.