Nuevo análisis ANCI: infección con ransomware MedusaLocker

El equipo de la Agencia Nacional de Ciberseguridad (ANCI) preparó un nuevo informe, disponible aquí, que describe una infección con ransomware a una institución, posibilitado por la exposición a internet de un escritorio remoto.

¿Cómo puede una institución saber si tiene un RDP expuesto hacia Internet?

Para esto, lo primero es conocer el direccionamiento IP público. Esto es fundamental para poder realizar un escaneo o consulta en los rangos de IP accesibles desde fuera de la red. Con esta información se pueden emplear emplear dos enfoques principales para verificar si se tiene un RDP expuesto: uno pasivo y otro activo.

• Método pasivo: En este enfoque, se busca información disponible públicamente que pueda indicar si tu red tiene RDP expuesto, sin interactuar directamente con los servicios. Esto puede incluir revisar bases de datos de puertos conocidos o servicios que hayan sido mapeados por herramientas de escaneo público.
• Método activo: Aquí se realiza un escaneo directo sobre los rangos de IP para verificar si el puerto utilizado por RDP (puerto 3389) está abierto y accesible desde Internet. Este tipo de escaneo te permite detectar más rápidamente si hay vulnerabilidades relacionadas con la exposición del servicio.

Otros factores prevenibles que dieron pie al ingreso y propagación de MedusaLocker fue el empleo de claves débiles por parte de la institución y el uso de herramientas de escalamiento de privilegios y técnicas avanzadas de movimiento lateral por parte de los delincuentes.

Una lectura necesaria para todo encargado de ciberseguridad, responsable de tecnología, o administrador de redes en cualquier institución, ya sea pública o privada, para evitar y mitigar riesgos como los descubiertos en este caso.

Más análisis de casos: https://csirt.gob.cl/articulo/.