Como os ataques ransomware usam RDPs desprotegidos e o que você pode fazer quanto a isso

Views: 356
0 0
Read Time:4 Minute, 18 Second

Os ataques ransomware contra empresas de diversos setores dispararam nos ultimos anos. Os criminosos estão tirando proveito de nossa confiança nas comunicações digitais e no trabalho remoto com fins mal-intencionados. Como resultado, a maioria dos incidentes de ransomware pode ser atribuída a um número limitado de vetores de intrusão, sendo os três principais: terminais mal protegidos do remote desktop protocol (RDP), phishing por e-mail e a exploração de vulnerabilidades de dia zero do VPN.

Relatórios das empresas Coveware, Emsisoft e Recorded Future destacam que o “RDP é considerado como o maior vetor de ataque ransomware”, tendo sido a fonte da maioria dos incidentes de ransomware em 2020 Algumas pessoas acham que o RDP é o principal vetor de intrusão de ransomware devido ao home office Entretanto, essa presunção está errada. O RDP está entre os principais vetores de intrusão desde o ano passado, quando os hackers de ransomware deixaram de visar os consumidores e passaram a visar empresas e infraestruturas críticas.

Qual é a principal causa disso?

O RDP é a tecnologia mais popular para conexão a sistemas remotos, e é geralmente considerado como uma ferramenta segura e protegida quando usado em uma rede privada. Entretanto, quando as portas do RDP são deixadas abertas na internet e acessíveis com senhas simples, elas podem causar sérios problemas de segurança. As senhas podem ser facilmente comprometidas, abrindo o caminho para o acesso criminoso e não autorizado às redes corporativas através de RDPs desprotegidos. O acesso não autorizado via RDPs permite que os hackers tenham acesso aos servidores corporativos e atuem como plataforma de lançamento de ataques ransomware.

Há milhões de computadores com suas portas do RDP expostas online sem qualquer proteção, o que faz do RDP um enorme vetor de ataque a todos os tipos de atividades cibernéticas criminosas, e cada vez mais ataques ransomware. Os criminosos que procuram explorar esses pontos de acesso podem encontrálos gratuitamente nos “mercados de RDP”. A partir daí, o trabalho deles é o mesmo de sempre. Eles procuram senhas fracas usando técnicas conhecidas como força bruta ou engenharia social. Uma vez que o hacker tenha obtido acesso ao sistema desejado, ele se concentra em tornar a rede tão insegura quanto possível.

Após os sistemas de segurança terem sido desativados e a rede ficar desprotegida, os criminosos ficam livres para atacar. Isto pode ser qualquer coisa, desde a instalação de ransomware, keyloggers, o uso de máquinas comprometidas para distribuir spam, o roubo de dados confidenciais ou a instalação de backdoors para futuros ataques.

Melhores práticas para mitigar os ataques ao RDP

Como mencionado acima, os RDPs são pontos de acesso para entrar em redes corporativas e não devem ser vistos na internet ou publicados sem proteção. A publicação de áreas de trabalho remoto para conveniência do usuário não justifica o aumento da ameaça à qual as empresas ficam expostas.

Para empresas que requerem o RDP, as seguintes melhores práticas se concentram no fortalecimento do ponto de acesso e são úteis para proteger o RDP contra ataques por força bruta.

  • Como regra geral, não publique áreas de trabalho remoto desprotegidas na internet. Se isso for extremamente necessário, certifique-se de que o ponto de acesso do RDP esteja protegido com autenticação multifator (MFA) para garantir que somente usuários validados possam entrar no RDP. 
  • Use gateways de RDP. As áreas de trabalho remoto devem ser protegidas atrás de gateways proxy reversíveis para ofuscar a porta padrão 3389 do RDP padrão. Os gateways de RDP são acessados através de conexões HTTPS (porta 443) protegidas através do protocolo de criptografia TLS. 
  • Utilize a MFA para acessar o gateway de RDP. Mesmo as senhas mais fortes podem ser comprometidas. Embora não seja uma panaceia, a MFA oferece uma camada extra de proteção ao exigir que os usuários forneçam pelo menos duas formas de autenticação para entrar em uma sessão de RDP.
  • Utilize a MFA para o login na rede. Uma vez dentro da área de trabalho remota, implemente outra camada de segurança, aplicando a MFA ao ponto de login na rede.

Como o Thales SafeNet Trusted Access ajuda a mitigar ataques

O Thales SafeNet Trusted Access pode ajudar a proteger seu ambiente de negócios contra ataques ransomware baseados em RDP. O SafeNet Trusted Access permite que as empresas protejam efetivamente o acesso remoto aos RDPs, gateways de RDP, bem como a aplicativos adicionais de nuvem e legados, independentemente do dispositivo final utilizado. SafeNet Trusted Access

  • Suporte para uma ampla gama de opções de autenticação, incluindo autenticação adaptativa e de passo a passo, MFA e tokens de hardware.
  • Políticas de acesso flexíveis para todos os sistemas operacionais (Windows/Mac/Linux) – isso significa que você pode usar um único serviço de gerenciamento de acesso e autenticação para proteger aplicativos baseados em nuvem e todas as áreas de trabalho remotas, independentemente do sistema operacional em que eles são executados.
  • Gerencie centralmente os aplicativos de nuvem e logins de rede a partir de um único serviço de gerenciamento de acesso/MFA.

Esse artigo tem informações retiradas do whitepaper da Thales. A Neotel é parceira da Thales e, para mais informações sobre as soluções e serviços da empresa, entre em contato com a gente.

POSTS RELACIONADOS