Máquinas com RDP inseguros atraem gangues de ransomware
Para conexão com sistemas remotos, o Remote Desktop Protocol (RDP) é uma das tecnologias mais proeminentes usadas hoje. Existem milhões de sistemas com portas RDP expostas online, o que torna o RDP um vetor de ataque massivo entre os operadores de ransomware.
RDP no topo das paradas
- De acordo com a Recorded Future , o RDP é o método de intrusão mais comum usado por agentes de ameaças – para obter acesso a computadores Windows e instalar malware – para a maioria dos ataques de ransomware em 2020.
- Os cibercriminosos varrem a Internet em busca de endpoints RDP e, em seguida, conduzem ataques de força bruta contra vários sistemas, tentando quebrar as credenciais do usuário. Os sistemas que usam nomes de usuário e senhas fracos são afetados e colocados à venda em lojas RDP – sites onde o acesso a sistemas hackeados é vendido a invasores.
A receita tradicional
Embora o RDP possa ser explorado de várias maneiras , os invasores costumam confiar em sistemas RDP já expostos.
- No início, eles usam ferramentas de varredura de portas de código aberto para buscar portas RDP expostas online e, em seguida, tentam obter acesso a um sistema usando ferramentas de força bruta ou credenciais roubadas adquiridas no mercado negro.
- Depois que os invasores obtêm acesso ao sistema de destino, eles tornam a rede vulnerável excluindo backups, desativando o software antivírus ou alterando as configurações.
- Depois de desabilitar os sistemas de segurança e tornar a rede vulnerável, os invasores entregam cargas de malware. O processo envolve a instalação de ransomware, uso de máquinas infectadas para distribuir spam, implantação de keyloggers ou instalação de backdoors para serem usados em ataques futuros.
Ataques RDP recentes
- Pesquisadores do Group-IB identificaram hackers de baixa qualificação baseados no Irã que encontram vítimas escaneando endereços IP na Internet em busca de conexões RDP expostas. Esses hackers foram encontrados implantação Dharma ransomware para t empresas Arget na China, Rússia, Japão e Índia.
- Recentemente, Nuspire avistou um invasor, apelidado de TrueFighter, que reapareceu e é conhecido por roubar credenciais ou acesso RDP e depois vendê-los na dark web. Ativo em várias comunidades clandestinas, TrueFighter é especializado na venda de contas RDP comprometidas que fornecem acesso administrativo remoto às redes das organizações de vítimas.
Esteja pronto com um plano
Mesmo se todas as diretrizes de segurança forem seguidas, podem permanecer pontos fracos no RDP que podem ser explorados. Nenhuma organização deseja introduzir tais pontos fracos em sua rede se não houver necessidade real deles. O resultado pode ser devastador sem uma estratégia de backup eficaz. É aconselhável estar sempre atento a ameaças potenciais que possam ser usadas para se infiltrar na rede de uma organização.
Fonte: https://cyware.com/news/unsecured-rdp-endpoints-attract-ransomware-gangs-552bec78