Este é um nível de abuso do Remote Desk Protocol (RDP) sem precedentes, desde o lançamento do primeiro relatório “Sophos Active Adversary”, com dados de 2020. Os serviços remotos externos foram a principal forma de invasão inicial por parte dos atacantes.
A Sophos, líder global em soluções de segurança inovadoras que vencem os ciberataques, lançou o seu mais recente relatório sobre adversário ativos: “It’s Oh So Quiet (?): The Sophos Active Adversary Report for 1H 2024”. O documento analisa mais de 150 casos de resposta a incidentes (IR) tratados pela equipa da Sophos X-Ops em 2023, tendo descoberto que os cibercriminosos abusaram do protocolo de desktop remoto (RDP) – um método comum para estabelecer acesso remoto em sistemas Windows – em 90% dos ataques. Esta foi a incidência mais elevada de abuso do RDP desde que a Sophos começou a divulgar os seus relatórios Active Adversary em 2021, abrangendo dados desde 2020.
Para além disso, os serviços remotos externos, como o RDP, foram o vetor mais comum através do qual os atacantes entraram inicialmente nas redes. De facto, foram o método de acesso inicial em 65% dos casos de resposta a incidentes em 2023. Os serviços remotos externos têm sido consistentemente a fonte mais frequente de acesso inicial para os cibercriminosos desde que a Spphos começou a lançar os relatórios Active Adversary, e as equipas de defesa devem considerar isto um sinal claro para darem prioridade à gestão destes serviços ao avaliar o risco para as empresas.
“Os serviços remotos externos são um requisito necessário, mas arriscado, para muitas empresas. Os atacantes compreendem os riscos que estes serviços representam e procuram ativamente subvertê-los devido às recompensas que lhes podem trazer. A exposição dos serviços sem uma consideração e atenuação cuidadosas dos seus riscos conduz inevitavelmente ao comprometimento. Não é preciso muito tempo para um atacante encontrar e violar um servidor RDP exposto e, sem controlos adicionais, para depois encontrar também o servidor Active Directory,” afirmou John Shier, Field CTO da Sophos.
No caso de um cliente da Sophos X-Ops, os atacantes comprometeram com sucesso a vítima quatro vezes num espaço de seis meses, obtendo sempre acesso inicial através das suas portas RDP expostas. Uma vez dentro da rede, os atacantes continuaram a mover-se lateralmente, descarregando binários maliciosos, desativando a proteção de endpoints e estabelecendo acesso remoto.
As credenciais comprometidas e a exploração de vulnerabilidades continuam a ser as duas causas mais comuns de ataques. No entanto, o “Active Adversary Report for Tech Leaders 2023”, lançado em agosto passado, descobriu que, no primeiro semestre desse ano, as credenciais comprometidas ultrapassaram pela primeira vez as vulnerabilidades como a causa mais frequente dos ataques. Essa tendência continuou durante todo o ano passado – as credenciais comprometidas foram a causa raiz de mais de 50% de todos os casos de resposta a incidentes. Analisando os dados do Active Adversary de forma cumulativa entre 2020 e 2023, as credenciais comprometidas também foram a causa número um dos ataques, envolvidas em quase um terço de todos os casos de IR. No entanto, apesar desta prevalência histórica, em 43% dos casos de IR em 2023, as organizações não tinham autenticação multifator configurada.
A exploração de vulnerabilidades foi a segunda causa mais comum dos ataques, tanto em 2023 como na análise cumulativa de 2020 a 2023, representando 16% e 30% dos casos de IR, respetivamente.
“A gestão do risco é um processo ativo. As organizações que o fazem bem registam situações de segurança mais favoráveis do que as que não o fazem, perante as ameaças contínuas de atacantes determinados. Um aspeto importante na gestão dos riscos de segurança, para além de os identificar e priorizar, é agir com base em informação. No entanto, há demasiado tempo que certos riscos, como o RDP aberto, continuam a assolar as organizações para deleite dos atacantes, que assim podem entrar pela ‘porta da frente’. Proteger a rede, reduzindo os serviços expostos e vulneráveis e reforçando a autenticação, tornará as organizações mais seguras no geral e mais capazes de derrotar os ciberataques,” afirmou John Shier.
O relatório Sophos Active Adversary para o primeiro semestre de 2024 baseia-se em mais de 150 investigações de resposta a incidentes (IR) em todo o mundo, em 26 setores. As organizações visadas estão localizadas em 23 países diferentes, incluindo os EUA, Canadá, México, Colômbia, Reino Unido, Suécia, Suíça, Espanha, Alemanha, Polónia, Itália, Áustria, Bélgica, Filipinas, Singapura, Malásia, Índia, Austrália, Kuwait, Emirados Árabes Unidos, Arábia Saudita, África do Sul e Botswana.
Este e outros artigos de cibersegurança, disponíveis no nosso blog.