Pesquisa de Ameaças

Ataques de ransomware via RDP asfixiam as pequenas e médias empresas

Jakub Křoustek, 8 Outubro 2018

Proteja você e sua empresa contra essa nova onda de ameaças.

A Microsoft incluiu o Remote Desktop Protocol (RDP) em seus produtos pela primeira vez em 1996. Desde então, os cibercriminosos tentaram, às vezes com sucesso, invadir máquinas por esse protocolo e vimos inúmeros ataques de RDP feitos por diferentes tipos de malware.

Mas uma tendência perturbadora e em crescimento desse tipo de ataque virtual começou há alguns anos, bloqueando sistemas com ransomware, prejudicando as empresas atacadas, na melhor das hipóteses, temporariamente. O Internet Crime Complaint Center (IC3) junto com o US Department of Homeland Security emitiu recentemente um alerta declarando que “o uso de ferramentas de administração remota, como o Remote Desktop Protocol (RDP), como vetor de ataque tem aumentado desde meados de 2016, com o crescimento de mercados negros que vendem acesso RDP”.

Vamos examinar essa ameaça de RDP, ver o que acontece quando um RDP é explorado e aprender como ficar protegido contra ataques de RDP.

O RDP tem sido usado como uma ferramenta confiável desde sua criação. A utilidade de se conectar remotamente a um computador mudou literalmente a maneira como o mundo trabalha. Cada versão do Windows a partir do XP foi equipada com um recurso de RDP. O mundo dos negócios adotou rapidamente a tecnologia e em pouco tempo começou a contar sua conveniência. Infelizmente, quando não é gerenciado e configurado corretamente, ele também funciona como um novo vetor de infecção para invasores.

O que é RDP?

O Remote Desktop Protocol (RDP) é usado para permitir acesso remoto de um computador para outro, por exemplo, um funcionário que trabalha remotamente pode acessar uma estação de trabalho em um servidor localizado em sua empresa. Pode ser tão simples quanto executar um software de cliente RDP em um laptop e se conectar em outro computador com servidor RDP. O RDP fornece então uma conexão criptografada entre ambos os terminais.

Por que o RDP é vulnerável?

Uma vulnerabilidade na implantação de RDP e sua exploração posterior acontece ocasionalmente e esse tipo de ataque é mais eficaz contra sistemas antigos e sem correções.

No entanto, esse não é o tipo principal de ataque de RDP que estamos vendo acontecer. Um ataque de força bruta ou credenciais de login fracas acontece com muito mais frequência. Nesse tipo de ataque, o invasor tenta, automática e incansavelmente, várias combinações de senha até que a solução correta é encontrada. Senhas fracas e, claro, vazadas, também são aproveitadas para a invasão.

As falhas mais notórias, no entanto, ocorrem quando o acesso de RDP é aberto a toda a internet (especificamente, a porta 3839). Se as configurações de segurança no terminal forem ruins, deixam uma porta para interceptadores encontrarem e invadirem o computador alvo.