O que é um ataque RDP e como se proteger contra ele?
Dizer que a crise do COVID-19 nos pegou desprevenidos seria o eufemismo da década. Ninguém esperava que o surto fosse tão grande e, quando percebemos o quão sério era o problema, uma onda de terror ressoou nos países e continentes. O pânico genuíno surgiu e, talvez não surpreendentemente, os cibercriminosos tentaram (e, em muitos casos, conseguiram) tirar vantagem disso.
Enquanto isso, os regulamentos de distanciamento social impostos em muitos países significavam que milhares de empresas enviavam seus funcionários para trabalhar em casa. Você provavelmente não ficará surpreso ao descobrir que os cibercriminosos também tentaram explorar isso.
Índice
Cibercriminosos atacam RDP enquanto o mundo está preso em casa
Na semana passada, pesquisadores da Kaspersky apresentaram uma série de gráficos que ilustram mais uma mudança trazida pela pandemia do COVID-19.
Trata-se de ataques RDP e o quanto eles têm sido mais difundidos desde o início do bloqueio. Os números diferem de país para país, mas a tendência é tão clara quanto a luz do dia - ataques contra o protocolo RDP tornaram-se muito mais populares desde o início da pandemia de coronavírus.
Essa nova descoberta não será um choque para quem sabe o que é RDP. Aqueles que não sabem agora podem descobrir.
O que é o RDP e por que os cibercriminosos o amam tanto?
RDP é a abreviação de Remote Desktop Protocol. É um protocolo de comunicação de aplicativos que permite que um usuário se conecte a um computador ou servidor remoto do Windows e use a interface gráfica do sistema operacional. Foi desenvolvido pela Microsoft e, por padrão, usa a porta 3389. Como você deve ter adivinhado, uma conexão RDP com um terminal remoto ocorre após a inserção de um conjunto de credenciais de logon válidas.
O RDP existe há algum tempo e os ataques contra ele são quase tão antigos quanto são. Ao longo dos anos, os pesquisadores de segurança identificaram várias vulnerabilidades e existem muitas ferramentas de hackers que exploram os pontos fracos. A maneira mais comum de comprometer o RDP, no entanto, é com um humilde ataque de força bruta.
Os lamentáveis hábitos de gerenciamento de senhas dos usuários refletem também na segurança do RDP. Munidos de listas de credenciais de login simples e previsíveis, os hackers podem comprometer facilmente um grande número de computadores e servidores com o RDP em execução. O ataque pode ser simples, mas como concede aos cibercriminosos acesso mais ou menos desobstruído ao endpoint comprometido, o dano que pode ser causado por ele é enorme. Por esse motivo, existem mercados da dark web dedicados à negociação de credenciais de RDP comprometidas.
Os ataques contra pontos de extremidade habilitados para RDP tornaram-se mais populares durante a pandemia do COVID-19 por alguns motivos óbvios. Embora os funcionários tenham sido enviados para trabalhar em casa, eles ainda precisavam ter acesso aos recursos corporativos pela rede, e muitas organizações decidiram estabelecê-lo através do Protocolo de Área de Trabalho Remota. Como você pode ver nos gráficos da Kaspersky, os cibercriminosos esperam que a configuração do RDP não seja especialmente segura em alguns casos e, infelizmente, eles podem estar certos.
Como já mencionamos, historicamente, os administradores de sistema têm cometido erros de esquerda, direita e central quando se trata da configuração do RDP e, desta vez, foram forçados a estabelecer um ambiente de trabalho para muitos usuários com pressa, o que aumenta ainda mais a probabilidade de erros.
Como se proteger contra um ataque RDP?
Na maioria das vezes, os ataques ao RDP são simples tentativas de força bruta e, como você provavelmente sabe, a maneira mais simples de se proteger contra qualquer ataque de força bruta é com uma senha forte que não é reutilizada em nenhum outro lugar. No entanto, o RDP representa uma superfície de ataque maior, e é por isso que os administradores de sistema podem fazer pior do que considerar uma ou duas outras coisas também.
Verifique se alguém que usa o protocolo atualizou seu software e, se você possui uma VPN corporativa, habilite o RDP somente por meio dele. Use autenticação de dois fatores sempre que possível e tente não usar a configuração padrão do protocolo. Isso pode não necessariamente impedir os hackers, mas pode atrasá-los e, com frequência, isso é tudo o que é necessário. Por último, mas não menos importante, se você não precisar de RDP, desative-o e feche a porta 3389.
