O comprometimento do Remote Desktop Protocol (RDP) atingiu níveis recordes em ataques de ransomware, de acordo com novos dados da Sophos. A fornecedora de segurança analisou 150 de seus casos de resposta a incidentes referentes a 2023 e descobriu que cerca de 90% deles apresentavam exploração de RDP para dar aos operadores de ameaças acesso remoto a ambientes Windows.
A Sophos descreveu a taxa de exploração de RDP como “sem precedentes” e disse que isso explicava parcialmente por que “serviços remotos externos” foram a forma mais popular para os operadores de ameaças obterem acesso inicial em ataques de ransomware — representando 65% dos casos no ano passado.
Em um dos casos, os invasores comprometeram com sucesso a mesma vítima quatro vezes em seis meses por meio de portas RDP expostas. Uma vez lá dentro, eles conseguiram se mover lateralmente pelas redes, baixando binários maliciosos, desativando a proteção de endpoint e estabelecendo acesso remoto, segundo a Sophos.
Especialistas observam que o RDP oferece várias vantagens para os operadores de ransomware. Primeiro, porque ele é extremamente popular entre os administradores de rede. Depois, porque os invasores podem fazer o acesso remoto sem acionar nenhum alarme de solução de antivírus (AV) ou EDR (endpoint detection and response), além de oferecer uma interface gráfica fácil de usar. Outro aspecto atrativo para os hackers é que o protocolo é frequentemente configurado incorretamente, o que significa que é exposto publicamente e protegido apenas com credenciais fáceis de decifrar.
Mas os problemas não param por aí. Às vezes, contas altamente privilegiadas são usadas para RDP, ampliando o dano que pode ser causado. Para piorar, os administradores geralmente desativam recursos de segurança, como autenticação em nível de rede e muitas organizações esquecem de segmentar suas redes, o que ajuda os invasores via RDP.
“Os serviços remotos externos são um requisito necessário, mas arriscado, para muitas empresas. Os invasores entendem os riscos que esses serviços representam e procuram ativamente subvertê-los devido à recompensa que existe além deles”, argumentou John Shier, CTO de campo da Sophos.
“Expor serviços sem consideração cuidadosa e mitigação de seus riscos leva inevitavelmente ao comprometimento. Não demora muito para um invasor encontrar e violar um servidor RDP exposto e, sem controles adicionais, também não demora para encontrar o servidor Active Directory que aguarda do outro lado.”