Como os ataques do Ransomware aproveitam RDPs desprotegidos e o que você pode fazer sobre isso

Views: 466
0 0
Read Time:4 Minute, 12 Second

Como mencionado no blog do meu colega Charles Goldberg no início deste ano”,Stop Ransomware em suas faixas com forte segurança de dados“, ataques de ransomware direcionados a empresas em uma variedade de setores dispararam durante o primeiro semestre de 2020. Os criminosos estão se aproveitando de nossa dependência de comunicações digitais e trabalho remoto para fins sinistros. Como resultado, a maioria dos incidentes de ransomware pode ser atribuída a um número limitado de vetores de intrusão, com os três primeiros sendo mal protegidos pontos finais de protocolo de desktop remoto (RDP), phishing de e-mail e a exploração de vulnerabilidades vpn de zero-day.

Relatórios de CovewareEmsisoftFuturo Registrado destacar que “o RDP é considerado o maior vetor de ataque para ransomware” e a fonte da maioria dos incidentes de ransomware em 2020. Alguns podem pensar que o RDP é o principal vetor de intrusão para ransomware por causa das configurações atuais de trabalho de casa. No entanto, isso não está correto. O RDP está entre os principais vetores de intrusão desde o ano passado, quando os atacantes de ransomware pararam de atingir os consumidores e apontaram para empresas e infraestrutura crítica.

Qual é a causa?

O RDP é a tecnologia mais popular para se conectar a sistemas remotos, e é geralmente considerado como uma ferramenta segura e segura quando usada dentro de uma rede privada. No entanto, quando as portas RDP são deixadas abertas na internet e acessíveis com senhas simples, elas podem causar sérios problemas de segurança. As senhas podem ser facilmente comprometidas abrindo caminho para acesso malicioso e não autorizado a redes corporativas por meio de RDPs desprotegidos. O acesso não autorizado via RDPs permite que os invasores tenham acesso a servidores corporativos e atuem como plataforma de lançamento para ataques de ransomware.

Há milhões de computadores com suas portas RDP expostas on-line sem qualquer proteção, o que torna o RDP um enorme vetor de ataque para todos os tipos de atividades cibernéticas maliciosas e ataques cada vez mais de ransomware. Criminosos que procuram explorar esses pontos de acesso podem encontrá-los gratuitamente em “Mercados RDP“. A partir daí, o trabalho deles é negócio, como sempre. Eles procuram senhas fracas aproveitando técnicas conhecidas como força bruta ou engenharia social. Uma vez que o invasor tenha acesso ao sistema de destino, eles se concentram em tornar a rede o mais insegura possível.

Depois que os sistemas de segurança foram desativados e a rede é deixada desprotegida, os criminosos são livres para entregar seu pacote malicioso. Isso pode ser qualquer coisa, desde instalar ransomware, implantar keyloggers, usar máquinas comprometidas para distribuir spam, roubar dados confidenciais ou instalar backdoors para ataques futuros.

Melhores práticas para mitigar ataques de RDP

Como mencionado acima, os RDPs são pontos de acesso para entrar nas redes corporativas e não devem ser vistos na internet ou publicados desprotegidos. Publicar desktops remotos para conveniência do usuário não justifica o aumento das ameaças a que as organizações estão expostas.

Para organizações que necessitam de RDP, as seguintes práticas recomendadas se concentram em endurecer o ponto de acesso e são úteis para garantir RDP contra ataques de força bruta.

  • Como regra geral, não publique desktops remotos desprotegidos na internet. Se isso for uma necessidade absoluta, certifique-se de que o ponto de acesso RDP esteja protegido com autenticação multifatorial (MFA) para garantir que apenas usuários validados possam entrar no RDP.
  • Use gateways RDP. Os desktops remotos devem ser protegidos atrás de gateways proxy reversos para ofuscar a porta RDP padrão 3389. Os gateways RDP são acessados através de conexões HTTPS (porta 443) protegidas através do protocolo de criptografia TLS.
  • Aplique MFA para acessar o gateway RDP. Até as senhas mais fortes podem ser comprometidas. Embora não seja uma panaceia, o MFA oferece uma camada extra de proteção, exigindo que os usuários forneçam pelo menos duas formas de autenticação para fazer login em uma sessão RDP.
  • Aplique MFA ao logon da rede. Uma vez dentro da área de trabalho remota, implemente outra camada de segurança aplicando MFA ao ponto de logon da rede.

Como o acesso confiável da Thales SafeNet ajuda a mitigar ataques

O Thales SafeNet Trusted Access pode ajudá-lo a proteger seu ambiente de negócios contra ataques de ransomware baseados em RDP. O SafeNet Trusted Access permite que as organizações protejam efetivamente o acesso remoto a RDPs, gateways RDP, bem como aplicativos adicionais de nuvem e legado, independentemente do dispositivo de ponto final que está sendo usado. O SafeNet Trusted Access oferece:

  • Suporte para uma ampla gama de opções de autenticação, incluindo autenticação adaptativa e intensificação, MFA e tokens baseados em hardware
  • Políticas de acesso flexíveis para todos os SO (Windows/Mac/Linux) – isso significa que você pode usar um único serviço de gerenciamento e autenticação de acesso para proteger aplicativos baseados em nuvem e todos os desktops remotos, independentemente de qual sistema operacional eles executem.
  • Gerenciar centralmente aplicativos em nuvem e logons de rede a partir de um único serviço de Gerenciamento de Acesso/MFA.

FONTE: THALES

POSTS RELACIONADOS