A capacidade dos hackers de explorar quase todas as vulnerabilidades representa um dos maiores desafios para a aplicação da lei - e para as pequenas empresas. O Federal Bureau of Investigation emitiu recentemente um aviso para empresas e outros sobre outra ameaça. Os hackers começaram a explorar o protocolo RDP (Remote Desktop Protocol) para realizar atividades maliciosas com maior frequência.
De acordo com o FBI, o uso do Protocolo de Área de Trabalho Remota como um vetor de ataque aumentou desde meados até o final de 2016. O aumento nos ataques de RDP foi em parte impulsionado por mercados escuros que vendem acesso ao Protocolo de Área de Trabalho Remota. Esses mal-intencionados descobriram maneiras de identificar e explorar as sessões vulneráveis de RDP na Internet.
$config[code] not foundPara pequenas empresas que usam o RDP para controlar remotamente seus computadores de casa ou de escritório, é necessária mais vigilância, incluindo a implementação de senhas fortes e sua alteração regular.
Em seu anúncio, o FBI alerta: “Os ataques que usam o protocolo RDP não exigem entrada do usuário, dificultando a detecção de intrusões”.
O que é o protocolo de área de trabalho remota?
Projetado para acesso e gerenciamento remotos, o RDP é um método da Microsoft para simplificar a transferência de dados de aplicativos entre usuários de clientes, dispositivos, desktops virtuais e um servidor de terminal do Protocolo de Área de Trabalho Remota.
Simplificando, o RDP permite controlar remotamente seu computador para gerenciar seus recursos e acessar dados. Esse recurso é importante para pequenas empresas que não usam a computação em nuvem e dependem de seus computadores ou servidores instalados no local.
Esta não é a primeira vez que o RDP apresenta problemas de segurança. No passado, as primeiras versões tinham vulnerabilidades que as tornavam suscetíveis a um ataque man-in-the-middle que dava aos atacantes acesso não autorizado.
Entre 2002 e 2017, a Microsoft lançou atualizações que corrigiram 24 grandes vulnerabilidades relacionadas ao Protocolo de Área de Trabalho Remota. A nova versão é mais segura, mas o anúncio do FBI aponta que hackers ainda a usam como um vetor para ataques.
Hacking de Protocolo de Área de Trabalho Remota: as vulnerabilidades
O FBI identificou várias vulnerabilidades - mas tudo começa com senhas fracas.
A agência diz que, se você usar palavras do dicionário e não incluir uma combinação de letras maiúsculas e minúsculas, números e caracteres especiais, sua senha ficará vulnerável a ataques de força bruta e de dicionário.
O protocolo de área de trabalho remota desatualizado usando o protocolo CredSSP também apresenta vulnerabilidades. O CredSSP é um aplicativo que delega as credenciais do usuário do cliente para o servidor de destino para autenticação remota. Um RDP desatualizado possibilita potencialmente lançar ataques man-in-the-middle.
Outras vulnerabilidades incluem o acesso irrestrito à porta padrão do Protocolo de Área de Trabalho Remota (TCP 3389) e a permissão de tentativas de login ilimitadas.
Hacking de Protocolo de Área de Trabalho Remota: Ameaças
Estes são alguns exemplos das ameaças listadas pelo FBI:
CrySiS Ransomware: O CrySIS ransomware tem como alvo principal empresas norte-americanas por meio de portas RDP abertas, usando ataques de força bruta e de dicionário para obter acesso remoto não autorizado. O CrySiS então descarta seu ransomware no dispositivo e o executa. Os agentes de ameaça exigem pagamento em Bitcoin em troca de uma chave de descriptografia.
CryptON Ransomware: O CryptON ransomware utiliza ataques de força bruta para obter acesso a sessões RDP, permitindo que um agente de ameaça execute programas maliciosos manualmente na máquina comprometida. Os atores cibernéticos normalmente solicitam o Bitcoin em troca de instruções de decodificação.
Samsam Ransomware: O Samsam ransomware usa uma ampla gama de explorações, incluindo aquelas que atacam máquinas habilitadas para RDP, para executar ataques de força bruta. Em julho de 2018, os agentes de ameaças da Samsam usaram um ataque de força bruta nas credenciais de login do RDP para se infiltrarem em uma empresa de assistência médica. O ransomware conseguiu criptografar milhares de máquinas antes da detecção.
Troca da Web Escura: Atores de ameaças compram e vendem credenciais de login RDP roubadas na Dark Web. O valor das credenciais é determinado pela localização da máquina comprometida, pelo software utilizado na sessão e por quaisquer atributos adicionais que aumentem a usabilidade dos recursos roubados.
Hacking de protocolo de área de trabalho remota: como você pode se proteger?
É importante lembrar que sempre que você tentar acessar algo remotamente, há um risco. E como o Protocolo de Área de Trabalho Remota controla totalmente um sistema, você deve regular, monitorar e gerenciar quem tem acesso de perto.
Ao implementar as práticas recomendadas a seguir, o FBI e o Departamento de Segurança Interna dos EUA dizem que você tem mais chances contra ataques baseados em RDP.
- Ative senhas fortes e políticas de bloqueio de contas para se defender contra ataques de força bruta.
- Use a autenticação de dois fatores.
- Aplique atualizações de sistema e software regularmente.
- Tenha uma estratégia de backup confiável com um sistema de recuperação forte.
- Ative o registro e garanta mecanismos de registro para capturar logins do Protocolo de Área de Trabalho Remota. Mantenha os logs por no mínimo 90 dias. Ao mesmo tempo, revise os logins para garantir que apenas aqueles com acesso os estejam usando.
Você pode dar uma olhada no restante das recomendações aqui.
Manchetes de violações de dados estão nas notícias regularmente e estão acontecendo com grandes organizações com recursos aparentemente ilimitados. Embora possa parecer impossível proteger sua pequena empresa de todas as ameaças cibernéticas existentes, você pode minimizar seu risco e responsabilidade se tiver os protocolos certos em vigor com uma governança rígida para todas as partes.
Imagem: FBI