RDP continua a ser o motivo de noites sem dormir para administradores de sistemas. A Sophos tem informado sobre cibercriminosos que exploram o RDP desde 2011 e, no ano passado, grupos cibercriminosos por trás de dois dos maiores ataques de ransomware alvo, Matrix e SamSam, abandonaram quase completamente todos os outros métodos de ingresso na rede para aderir ao uso do RDP.
Matt Boddy, especialista em segurança da Sophos e principal pesquisador do relatório, afirma: “Mais recentemente, uma falha remota de execução de código no RDP – apelidada de BlueKeep (CVE-2019-0708) – vem sendo manchete. Esta é uma vulnerabilidade tão séria que poderia ser usada para disparar um surto de ransomware que poderia se espalhar pelo mundo em horas. No entanto, a proteção contra ameaças RDP vai muito além de remendar sistemas contra o BlueKeep, que é apenas a ponta do iceberg”.
Além disso, os gerentes de TI precisam prestar mais atenção ao RDP geral porque, como mostra a pesquisa da Sophos, os cibercriminosos estão ocupados examinando todos os computadores potencialmente vulneráveis expostos pelo RDP 24/7 com ataques de adivinhação de senha”, afirma Boddy.
A nova pesquisa de RDP da Sophos destaca como os invasores conseguem encontrar dispositivos habilitados para RDP assim que esses dispositivos apareçam na Internet. Para demonstrar isso, a Sophos implantou 10 honeypots de baixa interação geograficamente dispersos para medir e quantificar os riscos baseados em RDP.
Dados do estudo revelam que todos os 10 honeypots receberam a primeira tentativa de login no RDP dentro de um dia. O Protocolo de Área de Trabalho Remota expõe PCs em apenas 84 segundos.
Os 10 honeypots do RDP registraram um total de 4.298.513 tentativas de login mal sucedidas em um período de 30 dias. Isso é aproximadamente uma tentativa a cada seis segundos.
Em geral, a indústria acredita que os cibercriminosos estão usando sites como o Shodan para procurar fontes abertas de RDP, mas a pesquisa da Sophos destaca como os cibercriminosos têm suas próprias ferramentas e técnicas para encontrar fontes abertas de RDP e não estão necessariamente confiando apenas em sites de terceiros encontrar acesso;
Comportamentos de hackers revelados
A Sophos identificou padrões de ataque, baseados na pesquisa. Isto inclui três perfis principais características de ataque nomeadas em: o carneiro, o enxame e o ouriço:
- O carneiro é uma estratégia projetada para descobrir uma senha de administrador. Um exemplo da pesquisa é que, ao longo de 10 dias, um invasor fez 109.934 tentativas de login no honeypot da Irlanda usando apenas três nomes de usuários para obter acesso.
- O enxame é uma estratégia que usa nomes de usuário sequenciais e um número finito das piores senhas. Um exemplo da pesquisa foi visto em Paris com um invasor usando o nome de usuário ABrown nove vezes ao longo de 14 minutos, seguido por nove tentativas com o nome de usuário BBrown, depois CBrown, seguido por DBrown, e assim por diante. O padrão foi repetido com A.Mohamed, AAli, ASmith e outros.
- O ouriço é caracterizado por explosões de atividade seguidas por períodos mais longos de inatividade. Um exemplo no Brasil viu cada pico gerado por um endereço IP, durou aproximadamente quatro horas e consistiu entre 3,369 e 5,199 palpites de senha.
Boddy explica o que o escopo dessa exposição a RDP significa para as empresas: “Atualmente, existem mais de três milhões de dispositivos acessíveis via RDP em todo o mundo, e agora é um ponto de entrada preferido pelos cibercriminosos. A Sophos tem falado sobre como os criminosos que implementam o ransomware direcionado, como BitPaymer, Ryuk, Matrix e SamSam, abandonaram quase completamente outros métodos usados para invadir uma organização para uso da “simples força bruta” de forçar senhas RDP”.
Segundo ele, todos os honeypots foram descobertos em poucas horas, apenas porque foram expostos à internet via RDP. A vantagem fundamental é reduzir o uso do RDP sempre que possível e garantir que a melhor prática de senha esteja em vigor em toda a organização. As empresas precisam agir de acordo para implementar o protocolo de segurança correto para proteger contra invasores implacáveis.
O relatório está disponível para download aqui, “RDP exposto: A ameaça está à sua porta“.