Cibercriminosos abusaram do protocolo de RDP

Os cibercriminosos abusaram do protocolo de desktop remoto (RDP) – um método comum para estabelecer acesso remoto em sistemas Windows – em 90% dos ataques.

Esta foi a principal conclusão do mais recente relatório da Sophos sobre adversário ativos: “It’s Oh So Quiet (?): The Sophos Active Adversary Report for 1H 2024”.

O documento, que analisa mais de 150 casos de resposta a incidentes (IR) tratados pela equipa da Sophos X-Ops em 2023, aponta ainda que esta foi a incidência mais elevada de abuso do RDP desde que a companhia começou a divulgar os seus relatórios Active Adversary em 2021, abrangendo dados desde 2020.

Para além disso, os serviços remotos externos, como o RDP, foram o vetor mais comum através do qual os atacantes entraram inicialmente nas redes.

De facto, foram o método de acesso inicial em 65% dos casos de resposta a incidentes em 2023.

Os serviços remotos externos têm sido consistentemente a fonte mais frequente de acesso inicial para os cibercriminosos desde que a Sophos começou a lançar os relatórios Active Adversary, e as equipas de defesa devem considerar isto um sinal claro para darem prioridade à gestão destes serviços ao avaliar o risco para as empresas.

“Os serviços remotos externos são um requisito necessário, mas arriscado, para muitas empresas. Os atacantes compreendem os riscos que estes serviços representam e procuram ativamente subvertê-los devido às recompensas que lhes podem trazer” afirmou John Shier, field CTO da Sophos.

No caso de um cliente da Sophos X-Ops, os atacantes comprometeram com sucesso a vítima quatro vezes num espaço de seis meses, obtendo sempre acesso inicial através das suas portas RDP expostas.

Uma vez dentro da rede, os atacantes continuaram a mover-se lateralmente, descarregando binários maliciosos, desativando a proteção de endpoints e estabelecendo acesso remoto.

A exploração de vulnerabilidades foi a segunda causa mais comum dos ataques, tanto em 2023 como na análise cumulativa de 2020 a 2023, representando 16% e 30% dos casos de IR, respetivamente.

“A gestão do risco é um processo ativo. As organizações que o fazem bem registam situações de segurança mais favoráveis do que as que não o fazem, perante as ameaças contínuas de atacantes determinados” afirmou John Shier.

O relatório Sophos Active Adversary para o primeiro semestre de 2024 baseia-se em mais de 150 investigações de resposta a incidentes (IR) em todo o mundo, em 26 setores.

As organizações visadas estão localizadas em 23 países diferentes, incluindo os EUA, Canadá, México, Colômbia, Reino Unido, Suécia, Suíça, Espanha, Alemanha, Polónia, Itália, Áustria, Bélgica, Filipinas, Singapura, Malásia, Índia, Austrália, Kuwait, Emirados Árabes Unidos, Arábia Saudita, África do Sul e Botswana