By Paulinho Curti- em Cajamar NET
Cerca de 90% das violações por ransomware são por meio do RDP no Windows
Popular entre os administradores de rede, protocolo é frequentemente configurado incorretamente
O comprometimento do Remote Desktop Protocol (RDP) atingiu níveis recordes em ataques de ransomware, de acordo com novos dados da Sophos. A fornecedora de segurança analisou 150 de seus casos de resposta a incidentes referentes a 2023 e descobriu que cerca de 90% deles apresentavam exploração de RDP para dar aos operadores de ameaças acesso remoto a ambientes Windows.
A Sophos descreveu a taxa de exploração de RDP como “sem precedentes” e disse que isso explicava parcialmente por que “serviços remotos externos” foram a forma mais popular para os operadores de ameaças obterem acesso inicial em ataques de ransomware — representando 65% dos casos no ano passado.
Em um dos casos, os invasores comprometeram com sucesso a mesma vítima quatro vezes em seis meses por meio de portas RDP expostas. Uma vez lá dentro, eles conseguiram se mover lateralmente pelas redes, baixando binários maliciosos, desativando a proteção de endpoint e estabelecendo acesso remoto, segundo a Sophos.
Especialistas observam que o RDP oferece várias vantagens para os operadores de ransomware. Primeiro, porque ele é extremamente popular entre os administradores de rede. Depois, porque os invasores podem fazer o acesso remoto sem acionar nenhum alarme de solução de antivírus (AV) ou EDR (endpoint detection and response), além de oferecer uma interface gráfica fácil de usar. Outro aspecto atrativo para os hackers é que o protocolo é frequentemente configurado incorretamente, o que significa que é exposto publicamente e protegido apenas com credenciais fáceis de decifrar.
Mas os problemas não param por aí. Às vezes, contas altamente privilegiadas são usadas para RDP, ampliando o dano que pode ser causado. Para piorar, os administradores geralmente desativam recursos de segurança, como autenticação em nível de rede e muitas organizações esquecem de segmentar suas redes, o que ajuda os invasores via RDP.
“Os serviços remotos externos são um requisito necessário, mas arriscado, para muitas empresas. Os invasores entendem os riscos que esses serviços representam e procuram ativamente subvertê-los devido à recompensa que existe além deles”, argumentou John Shier, CTO de campo da Sophos.
“Expor serviços sem consideração cuidadosa e mitigação de seus riscos leva inevitavelmente ao comprometimento. Não demora muito para um invasor encontrar e violar um servidor RDP exposto e, sem controles adicionais, também não demora para encontrar o servidor Active Directory que aguarda do outro lado.”
10 dicas para evitar violações por ransomware são por meio do RDP
1 - Desativar o RDP se não for necessário: Se o RDP não é necessário, desative-o em seus dispositivos ou servidores. Isso reduz a superfície de ataque.
2 - Usar autenticação forte: Se o RDP for necessário, use autenticação multifator (MFA) sempre que possível para proteger o acesso. Senhas complexas e exclusivas também ajudam a reduzir o risco.
3 - Limitar o acesso ao RDP: Configure firewalls para permitir o acesso ao RDP apenas de endereços IP confiáveis ou redes internas. Evite expor portas de RDP diretamente à internet.
4 - Atualize sistemas regularmente: Mantenha seus sistemas operacionais e software atualizados com os patches mais recentes. Isso reduz a chance de explorar vulnerabilidades conhecidas.
5 - Monitorar e auditar sessões RDP: Monitore as atividades de RDP para detectar padrões suspeitos e analise regularmente logs para identificar possíveis tentativas de acesso não autorizado.
6 - Usar protocolos alternativos: Considere o uso de outras tecnologias de acesso remoto mais seguras, como VPNs (Redes Privadas Virtuais), que oferecem um nível maior de segurança.
7 - Reduzir a superfície de ataque: Reduza a quantidade de contas com permissões de administrador e aplique o princípio do menor privilégio para as contas que precisam usar o RDP.
8 - Desativar redirecionamento de impressora e unidade: Limite a capacidade de redirecionamento de impressoras e unidades durante as sessões RDP, pois isso pode ser uma via para a entrada de malware.
9 - Usar ferramentas de segurança: Invista em soluções de segurança, como antivírus e anti-malware, e mantenha-os atualizados. Algumas dessas ferramentas podem detectar e bloquear atividades suspeitas relacionadas ao RDP.
10 - Educar os usuários: Instrua os usuários sobre os riscos de ataques de ransomware por meio do RDP e as práticas de segurança adequadas.
