A porta de entrada da ameaça

Nesta  quarta-feira (17/07), a Sophos anunciou a pesquisa chamada "RDP exposto: A ameaça está à sua porta", revelando como os cibercriminosos estão incansavelmente tentando atacar as organizações por meio do protocolo RDP (Remote Desktop Protocol)

Compartilhar:

RDP continua a ser o motivo de noites sem dormir para administradores de sistemas. A Sophos tem informado sobre cibercriminosos que exploram o RDP desde 2011 e, no ano passado, grupos cibercriminosos por trás de dois dos maiores ataques de ransomware alvo, Matrix e SamSam, abandonaram quase completamente todos os outros métodos de ingresso na rede para aderir ao uso do RDP.

 

Matt Boddy, especialista em segurança da Sophos e principal pesquisador do relatório, afirma: “Mais recentemente, uma falha remota de execução de código no RDP – apelidada de BlueKeep (CVE-2019-0708) – vem sendo manchete. Esta é uma vulnerabilidade tão séria que poderia ser usada para disparar um surto de ransomware que poderia se espalhar pelo mundo em horas. No entanto, a proteção contra ameaças RDP vai muito além de remendar sistemas contra o BlueKeep, que é apenas a ponta do iceberg”.

 

Além disso, os gerentes de TI precisam prestar mais atenção ao RDP geral porque, como mostra a pesquisa da Sophos, os cibercriminosos estão ocupados examinando todos os computadores potencialmente vulneráveis expostos pelo RDP 24/7 com ataques de adivinhação de senha”, afirma Boddy.

 

A nova pesquisa de RDP da Sophos destaca como os invasores conseguem encontrar dispositivos habilitados para RDP assim que esses dispositivos apareçam na Internet. Para demonstrar isso, a Sophos implantou 10 honeypots de baixa interação geograficamente dispersos para medir e quantificar os riscos baseados em RDP.

 

Dados do estudo revelam que todos os 10 honeypots receberam a primeira tentativa de login no RDP dentro de um dia. O Protocolo de Área de Trabalho Remota expõe PCs em apenas 84 segundos.

 

Os 10 honeypots do RDP registraram um total de 4.298.513 tentativas de login mal sucedidas em um período de 30 dias. Isso é aproximadamente uma tentativa a cada seis segundos.

 

Em geral, a indústria acredita que os cibercriminosos estão usando sites como o Shodan para procurar fontes abertas de RDP, mas a pesquisa da Sophos destaca como os cibercriminosos têm suas próprias ferramentas e técnicas para encontrar fontes abertas de RDP e não estão necessariamente confiando apenas em sites de terceiros encontrar acesso;

 

Comportamentos de hackers revelados 

A Sophos identificou padrões de ataque, baseados na pesquisa. Isto inclui três perfis principais características de ataque nomeadas em: o carneiro, o enxame e o ouriço:

  • O carneiro é uma estratégia projetada para descobrir uma senha de administrador. Um exemplo da pesquisa é que, ao longo de 10 dias, um invasor fez 109.934 tentativas de login no honeypot da Irlanda usando apenas três nomes de usuários para obter acesso.
  • O enxame é uma estratégia que usa nomes de usuário sequenciais e um número finito das piores senhas. Um exemplo da pesquisa foi visto em Paris com um invasor usando o nome de usuário ABrown nove vezes ao longo de 14 minutos, seguido por nove tentativas com o nome de usuário BBrown, depois CBrown, seguido por DBrown, e assim por diante. O padrão foi repetido com A.Mohamed, AAli, ASmith e outros.
  • O ouriço é caracterizado por explosões de atividade seguidas por períodos mais longos de inatividade. Um exemplo no Brasil viu cada pico gerado por um endereço IP, durou aproximadamente quatro horas e consistiu entre 3,369 e 5,199 palpites de senha.

 

Boddy explica o que o escopo dessa exposição a RDP significa para as empresas: “Atualmente, existem mais de três milhões de dispositivos acessíveis via RDP em todo o mundo, e agora é um ponto de entrada preferido pelos cibercriminosos. A Sophos tem falado sobre como os criminosos que implementam o ransomware direcionado, como BitPaymer, Ryuk, Matrix e SamSam, abandonaram quase completamente outros métodos usados para invadir uma organização para uso da “simples força bruta” de forçar senhas RDP”.

Segundo ele, todos os honeypots foram descobertos em poucas horas, apenas porque foram expostos à internet via RDP. A vantagem fundamental é reduzir o uso do RDP sempre que possível e garantir que a melhor prática de senha esteja em vigor em toda a organização. As empresas precisam agir de acordo para implementar o protocolo de segurança correto para proteger contra invasores implacáveis.

O relatório está disponível para download aqui, “RDP exposto: A ameaça está à sua porta“.

 

Conteúdos Relacionados

Security Report | Overview

Extorsão e espionagem devem gerar R$ 2 milhões em prejuízo por segundo à TI

O relatório Data Breach Investigations Report 2024 alerta que foram registrados no último ano 1367 incidentes em empresas do setor...
Security Report | Overview

Custo médio de ciberataques na Saúde foi de US$ 5,3 milhões em 2023

Diante do contexto de violação, PwC lista seis ações essenciais para segmentos impactados no setor
Security Report | Overview

Ataques DDoS podem ameaçar a Segurança Cibernética das eleições de 2024?

Em tempos de instabilidade política global, como a guerra na Ucrânia, os conflitos em Israel e as eleições nos EUA,...
Security Report | Overview

IA Generativa é incluída em nova oferta de SASE da indústria de Cyber Security

A nova oferta e a integração inteligente de IA generativa demonstram o compromisso da companhia com a inovação em SASE