A pandemia da Covid-19 forçou grande parte do trabalho a ser realizado remotamente. Cientes da mudança de cenário, os cibercriminosos - especialmente os operadores de ransomware - tentam explorar as novas condições para aumentar seus lucros. Os dados fornecidos pela telemetria da ESET, empresa líder em detecção proativa de ameaças, confirmam o aumento no número de usuários que sofreram tentativas de ataque de força bruta, detectados e bloqueados usando a tecnologia para identificar ataques de rede.

Hoje, uma porcentagem significativa do trabalho é realizada por meio de dispositivos domésticos para acessar sistemas comerciais confidenciais, por exemplo, por meio do Windows Remote Desktop Protocol (RDP), que permite conexão com a rede corporativa a partir de computadores remotos. Apesar da crescente importância dos serviços de acesso remoto, as organizações geralmente negligenciam sua configuração e proteção adequadas, os colaboradores usam senhas fáceis de adivinhar e não usam camadas adicionais de autenticação ou proteção.

Os cibercriminosos geralmente realizam ataques de força bruta visando redes mal protegidas, aumentam suas permissões para o nível de administrador e desabilitam ou desinstalam soluções de segurança para finalmente executar programas maliciosos, como o ransomware, que criptografa e seqüestra os dados, que são cruciais para as vítimas.

De acordo com os dados de telemetria da ESET, há um aumento acentuado no número de tentativas de ataques via RDP.

Para lidar com os riscos associados ao aumento do uso do RDP, os pesquisadores da ESET criaram uma nova camada de detecção, chamada ESET Brute-Force Attack Protection, que está oculta no mecanismo do ESET Network Attack Protection e detecta grupos de tentativas fracassadas de login a partir de ambientes externos, o que sugere um ataque de força bruta e, em seguida, bloqueie novas tentativas. Posteriormente, os endereços IP correspondentes às tentativas de ataque são adicionados a uma lista que protege milhões de outros dispositivos contra ataques futuros.

Com base na telemetria da ESET, a maioria dos IPs bloqueados entre janeiro e maio de 2020 foram detectados nos Estados Unidos, China, Rússia, Alemanha e França.

Os países que tiveram como alvo a maior porcentagem de endereços IP foram Rússia, Alemanha, Japão, Brasil e Hungria.

Mesmo com medidas de proteção como a ESET Brute-Force Attack Protection, as organizações devem manter o acesso remoto configurado corretamente. Para isso, os especialistas da ESET compartilham as seguintes recomendações:

Desabilitar serviços RDP expostos à Internet; se isso não for possível, minimize o número de usuários que podem se conectar diretamente aos servidores da organização pela Internet.
Exija senhas complexas e extensas para todas as contas que podem efetuar login através do RDP.
Use uma camada adicional de autenticação (MFA / 2FA).
Instale um gateway de rede virtual privada (VPN) como intermediário para todas as conexões RDP de fora da rede local.
No firewall de perímetro, desative as conexões externas com máquinas locais na porta 3389 (TCP / UDP) ou qualquer outra porta usada pelo protocolo RDP.
A senha protege o software de segurança contra possíveis alterações em sua configuração ou desinstalação.
Isole qualquer computador inseguro ou obsoleto que precise ser acessado da Internet usando o RDP e substitua-o se for desnecessário usá-lo remotamente.

A ESET esclarece que a criptografia de dados e a extorsão subsequente não são o único cenário que pode seguir um ataque via RDP. Os cibercriminosos podem usar outros tipos de malware, como os responsáveis ​​por minerar criptomoedas ou instalar backdoors a partir dos quais os invasores podem manter acesso a sistemas e redes corporativos caso a vítima identifique e feche o acesso não autorizado ao RDP.

Outros cenários que podem ocorrer após o comprometimento do protocolo RDP são:

excluir arquivos de log, para remover evidências de atividades maliciosas anteriores,
faça o download e executar nas ferramentas do sistema comprometidas o malware de acordo com a escolha do invasor,
desativar ou excluir completamente backups agendados e cópias de sombra, também conhecidas como instantâneos,
filtrar dados do servidor.

\"Isso demonstra a importância da segurança do acesso remoto, já que além de prejudicar a reputação de uma organização, há perdas financeiras, operações estagnadas e esforços de recuperação dispendiosos que devem ser levados em consideração, bem como as possíveis multas que podem ser aplicadas. as autoridades de acordo com a legislação de proteção de dados aplicável, como GDPR (UE), CCPA (Califórnia) ou NDB (Austrália). Na ESET, recomendamos que as empresas gerenciem os riscos decorrentes do uso generalizado de RDP ou outros serviços similares, fortalecendo suas senhas e adicionando outras camadas adicionais de segurança, incluindo autenticação multifatorial e uma solução de segurança que protege contra esses tipos de ataques.” , comenta Camilo Gutierrez, chefe do laboratório de pesquisa da ESET América Latina.