Ataques de senha RDP estão aumentando durante a pandemia de COVID-19
Durante seus golpes, os cibercriminosos geralmente tentam induzir as vítimas a pensar que há uma emergência que precisa ser tratada rapidamente. Ao fazer isso, é muito mais provável que os alvos tenham pressa de agir e, quando estão com pressa, têm muito mais chances de cometer erros. Às vezes, porém, os criminosos não precisam criar essas emergências. Às vezes, as emergências são causadas por fatores externos, e tudo o que os criminosos precisam fazer é aproveitar os erros resultantes. Na semana passada, a ESET nos deu um exemplo brilhante de como eventos globais podem criar o ambiente certo para ataques cibernéticos.
Alguns meses atrás, países de todo o mundo declararam estado de emergência por causa do surto de COVID-19, e centenas de milhares de trabalhadores foram informados de que deveriam trabalhar em casa. Para muitos, isso significava usar seus próprios computadores e dispositivos, mas eles ainda precisavam acessar redes e dados corporativos confidenciais. Para evitar o tempo de inatividade, as configurações precisavam ser feitas às pressas e, previsivelmente, foi aí que as coisas deram errado.
Índice
Configurações inadequadas de RDP levam a um aumento no número de ataques
RDP significa Protocolo de Área de Trabalho Remota e, como o nome sugere, é uma das maneiras pelas quais você pode configurar uma conexão remota entre dois dispositivos. O surto de coronavírus levou a um aumento no uso, o que, por sua vez, resultou em muito mais ataques cibernéticos direcionados às conexões RDP dos funcionários. De fato, de acordo com a telemetria da ESET, no final de janeiro, cerca de um mês e meio antes da Organização Mundial de Saúde declarar o surto de coronavírus uma pandemia, o número de ataques RDP pairava em torno de 40 mil por dia. Por outro lado, em maio, cerca de um mês e meio depois que as pessoas foram instruídas a ficar em casa, a ESET registrou um pico de 100 mil ataques diários.
Senhas fracas e configurações de rede inseguras tornam as conexões RDP facilmente exploráveis
Os ataques RDP não são novos. O protocolo em si existe há séculos e os hackers o exploram há um tempo. A idade não é o problema aqui, no entanto.
As conexões RDP podem ser configuradas para serem seguras, mas o grande número de ataques que vemos todos os dias prova que as pessoas simplesmente não estão fazendo isso. A pandemia do COVID-19 pode ser a razão do atual aumento, mas os ataques em si seriam impossíveis se não fossem os erros de configuração das pessoas.
O maior problema é o gerenciamento de senhas. A maioria dos ataques a protocolos como RDP e SMB se baseia em técnicas de força bruta para adivinhar as credenciais de login que permitem a sessão remota, e o fato de que os criminosos ainda os estão usando após todos esses anos prova que as pessoas ainda protegem dados corporativos confidenciais com facilidade. senhas para quebrar. Obviamente, seria ainda melhor se os bandidos não tivessem como fazer login, e existem ferramentas que podem garantir isso também. Parece, no entanto, que os administradores de sistema não conseguiram implementá-los e, quando se trata das redes atualmente expostas, pelo menos parte do motivo é a pressão que estavam sob para fechar rapidamente os escritórios quando o bloqueio foi anunciado. .
Os ataques RDP podem resultar em qualquer coisa, desde surtos de ransomware a campanhas de criptografia
As conseqüências de conexões RDP mal configuradas podem ser bastante catastróficas. Depois de adivinhar uma senha e fazer login, os hackers podem obter privilégios administrativos com relativa facilidade, o que significa que eles podem fazer praticamente o que quiserem. Os operadores de ransomware usam o RDP para bloquear os dados de empresas e organizações há anos e, recentemente, eles usaram o acesso necessário para roubar informações valiosas também. Os hackers que preferem ataques mais silenciosos também podem se envolver em outras atividades criminosas, como o criptojacking.
Em suma, o RDP é um vetor de ataque muito poderoso, e os administradores de sistema devem levar a sério a segurança. Se sua organização precisar usar o RDP, eles devem configurar o firewall para proibir conexões externas às portas do protocolo e, idealmente, ocultam-no atrás de um gateway VPN. Os administradores de sistemas precisam estar bem cientes de quem usará o protocolo e devem garantir que todos os usuários utilizem senhas fortes únicas e autenticação de dois fatores.
