À medida que mais organizações avançam para o trabalho remoto, equipas distribuídas e ambientes com ligação à nuvem, as soluções de acesso remoto tornaram-se ferramentas indispensáveis para permitir a flexibilidade da força de trabalho.
No entanto, embora o aumento do acesso remoto seja um excelente progresso tecnológico, criou mais pontos de acesso e mais oportunidades para os atacantes.
Atualmente, os ataques de acesso remoto e a exploração do Remote Desktop Protocol (RDP) continuam a ser os métodos de acesso inicial mais comuns utilizados por grupos de ransomware e cibercriminosos.
Uma tendência positiva? Temos agora relatórios mais detalhados do que nunca. Os fornecedores de segurança, as equipas de IR e os meios de comunicação publicam frequentemente análises de incidentes que mostram com precisão como os atacantes obtêm acesso e que ferramentas de acesso remoto utilizam e como aumentam os privilégios.
Para as organizações dispostas a prestar atenção, este nível de transparência oferece dois grandes benefícios:
- Veja-se exatamente como as vulnerabilidades de acesso remoto estão a ser exploradas.
- Veja-se o que deve mudar no seu ambiente para reduzir o risco.
Neste guia, analisamos as vulnerabilidades de acesso remoto mais comuns, a forma como os atacantes as exploram e os passos específicos que pode seguir para proteger o seu ambiente e impedir ataques de ransomware baseados em RDP.
Vulnerabilidades comuns de acesso remoto
As vulnerabilidades do acesso remoto são a espinha dorsal de muitos ciberataques bem sucedidos. Fornecem uma porta aberta para que os atacantes se infiltrem na sua rede, roubem dados ou implementem software malicioso.
À medida que o trabalho remoto global se expande, o risco de acesso remoto aumenta. De acordo com o Fórum Económico Mundial, o emprego digital global deverá aumentar 25% até 2030, acrescentando milhões de novos pontos finais remotos que poderão tornar-se potenciais pontos de entrada para os atacantes.
Isto sublinha a importância de compreender estas vulnerabilidades para reforçar a sua postura de segurança e evitar potenciais violações.
Abaixo, discutimos as vulnerabilidades de acesso remoto mais comuns que as organizações enfrentam atualmente:
Falta de informação e visibilidade
Muitas organizações não têm visibilidade e compreensão abrangentes dos sistemas de acesso remoto, tais como configurações VPN, definições RDP e controlos de acesso de terceiros.
Sem um inventário claro das ferramentas de acesso remoto e dos pontos finais, é fácil que ocorram configurações incorrectas. Essas lacunas no conhecimento podem levar a:
- VPNs e firewalls mal configurados
- Exposição acidental de dados sensíveis
- Acesso de utilizadores não autorizados através de dispositivos mal protegidos
Além disso, os trabalhadores remotos podem, sem saber, ligar-se a uma rede Wi-Fi pública não segura, aumentando o risco de ataques man-in-the-middle.
Partilha de palavras-passe e credenciais fracas
A partilha de palavras-passe é uma prática comum mas perigosa. Quando os empregados partilham credenciais, especialmente para sistemas de acesso remoto, torna-se difícil controlar a responsabilidade.
As palavras-passe reutilizadas ou fracas tornam os sistemas vulneráveis a ataques de força bruta ou ao preenchimento de credenciais. Além disso, quando um empregado sai, o facto de não alterar as palavras-passe partilhadas pode deixar os sistemas abertos à exploração muito depois de o empregado ter saído.
Software não seguro ou desatualizado
O ransomware e outros tipos de malware exploram software não corrigido. Muitas organizações continuam a utilizar software RDP desatualizado, clientes VPN ou outros sistemas de acesso remoto, que são alvos conhecidos dos cibercriminosos. Vulnerabilidades nesses sistemas:
- Permitem a entrega de malware através de exploits não corrigidos
- Permitem a execução remota de código por parte dos atacantes
- Fornecem acesso de retaguarda a dados e sistemas sensíveis
Muitos fornecedores de software lançam regularmente patches para corrigir estas vulnerabilidades, mas a não aplicação de actualizações deixa os sistemas expostos. Software de terceiros, plugins ou extensões desactualizados ou inseguros também podem fornecer pontos de entrada não intencionais.
Utilização de dispositivos pessoais para trabalho remoto
Os dispositivos pessoais, aqueles que não são geridos pelo departamento de TI da organização, representam um risco significativo quando são utilizados para o trabalho. Os empregados podem ligar-se a partir de:
- Dispositivos pessoais não seguros, que não dispõem de controlos de segurança de nível empresarial
- Dispositivos que não cumprem as políticas de segurança da empresa, como a encriptação de terminais
- Shadow IT, onde aplicações ou serviços não autorizados são utilizados para o trabalho
Estes dispositivos também podem não ter actualizações de segurança regulares, deixando as organizações vulneráveis a ataques de malware e ransomware. Os dispositivos pessoais normalmente não têm o mesmo nível de controlo, monitorização ou autenticação que os dispositivos geridos pela empresa, deixando-os vulneráveis a acessos não autorizados.
Gestão inadequada de patches
Muitas organizações enfrentam desafios na aplicação de patches e na atualização de sistemas, especialmente quando lidam com infraestruturas antigas ou recursos de TI limitados. Os sistemas não corrigidos são alvos fáceis para os cibercriminosos, que analisam ativamente as redes em busca de vulnerabilidades. Quando os patches são atrasados ou ignorados:
- Os atacantes podem explorar vulnerabilidades conhecidas no software de acesso remoto
- As ferramentas de ataque automatizadas podem procurar dispositivos não corrigidos e comprometê-los
- O código malicioso pode espalhar-se pela rede utilizando estas vulnerabilidades como pontos de entrada
No caso do RDP, os atacantes utilizam frequentemente ataques de força bruta em serviços fracos ou não corrigidos para obter acesso.
Cópias de segurança vulneráveis
As cópias de segurança são cruciais para a recuperação no caso de um ciberataque, mas as cópias de segurança não seguras também podem ser um alvo. Os atacantes procuram frequentemente cópias de segurança expostas na nuvem ou dados não encriptados, utilizando-os como pontos de ataque secundários. Sem controlos de acesso e encriptação fortes, estas cópias de segurança podem tornar-se um ponto de entrada fácil para o roubo de dados ou ransomware.
Má higiene dos dispositivos
Negligenciar as actualizações regulares dos dispositivos e as verificações de segurança pode aumentar o risco de infecções por malware e ransomware. Com o tempo, os dispositivos acumulam vulnerabilidades, que:
- Aumentam a superfície de ataque dos cibercriminosos
- Permitem o acesso não autorizado se as permissões ou os certificados de segurança estiverem desactualizados
- Permitem que os atacantes infectem dispositivos, que podem mais tarde ser usados como plataformas de lançamento para infiltrações de rede maiores
A higiene regular dos dispositivos e a atualização do software de segurança são essenciais para reduzir o risco de violações de segurança.
Ataques de phishing
O phishing continua a ser um dos métodos mais comuns para obter acesso não autorizado. Os cibercriminosos enviam:
- E-mails enganosos que parecem legítimos: Os atacantes enviam frequentemente mensagens de correio eletrónico que imitam empresas, fornecedores ou departamentos internos de confiança. Estas mensagens podem incluir facturas falsas, links de redefinição de palavra-passe ou pedidos urgentes concebidos para enganar os utilizadores e levá-los a clicar em links maliciosos ou a partilhar informações sensíveis.
- Smishing (phishing por SMS) ou vishing (phishing por voz): Os cibercriminosos também utilizam mensagens de texto e chamadas telefónicas para parecerem credíveis. As mensagens de smishing podem conter ligações para sítios Web fraudulentos ou pedidos urgentes para “verificar” a sua conta. O vishing implica que os autores das chamadas se façam passar por bancos, apoio informático ou agências governamentais para pressionar as vítimas a revelarem detalhes de início de sessão, informações financeiras ou códigos de segurança.
- Portais de início de sessão falsos: Os atacantes criam páginas de início de sessão semelhantes para serviços como o correio eletrónico ou contas na nuvem. Estas páginas imitam de perto a marca e os URLs reais, enganando os utilizadores para que introduzam os seus nomes de utilizador e palavras-passe, que são depois roubados.
Os atacantes estão agora a utilizar tácticas avançadas, incluindo a aprendizagem automática, para criar mensagens de phishing personalizadas e falsificação de domínios para tornar os seus ataques mais credíveis. Quando as credenciais são roubadas, podem ser facilmente utilizadas para aceder a sistemas de acesso remoto, como RDP, VPNs ou serviços na nuvem.
Como os atacantes exploram as vulnerabilidades do acesso remoto para obter acesso
Há muito que se sabe que uma percentagem significativa de ataques de ransomware, independentemente da variante, começa com phishing ou intrusões baseadas em ambiente de trabalho remoto.
O phishing, que mencionámos na secção anterior, é um ponto de entrada óbvio: quando bem sucedido, entrega aos atacantes uma sessão de endpoint e credenciais de utilizador válidas. Mas os ataques ao ambiente de trabalho remoto (incluindo os realizados através de ferramentas comerciais de acesso remoto) oferecem o mesmo resultado.
Quer os atacantes utilizem tentativas de força bruta – testando milhares de palavras-passe – ou credenciais roubadas, adquiridas ou recolhidas de violações anteriores, os ataques baseados em RDP continuam a ser igualmente eficazes e, por isso, ombreiam com o phishing como principal vetor de ataque inicial.
Exemplos reais de exploração de RDP
Um exemplo bem documentado envolve o MedusaLocker, uma variante de ransomware identificada pela primeira vez em 2019, que ressurgiu recentemente o suficiente para suscitar um Joint Cybersecurity Advisory das agências governamentais. Os operadores do MedusaLocker visam principalmente ligações RDP expostas — por vezes publicadas intencionalmente por conveniência, outras vezes deixadas acidentalmente abertas. Depois de obterem acesso, implementam ransomware, encriptam dados críticos e exigem pagamento.
Outro caso de grande impacto, documentado por investigadores da Sophos, revelou como um grupo que utilizava o ransomware LockBit se infiltrou numa rede do governo dos EUA através de RDP. Surpreendentemente, os atacantes realizaram uma exploração lateral na rede durante cinco meses sem serem detectados antes de iniciarem a implementação do ransomware.
Como os atacantes escalam e se movem lateralmente usando o acesso remoto
Agora que já sabe como é que os atacantes exploram as vulnerabilidades de acesso remoto para obter acesso, vamos discutir como é que eles escalam e se movem lateralmente utilizando o acesso remoto:
Depois de os invasores obterem acesso local, a próxima fase lógica, de acordo com o MITRE ATT&CK Framework, é o movimento lateral. Os mecanismos de acesso remoto (especialmente o RDP interno) são normalmente utilizados de forma abusiva durante esta fase.
Dados recentes de uma empresa de resposta a incidentes de ransomware Coveware mostram que o movimento lateral ocorre em cerca de 70% dos ataques de ransomware. Os seus analistas referem que esta fase “consiste principalmente no abuso do ambiente de trabalho remoto interno (RDP) após o acesso inicial ter sido efectuado”.
Ao deslocarem-se lateralmente, os atacantes aumentam as permissões, acedem a pontos finais adicionais, localizam dados sensíveis e posicionam o ransomware para obter o máximo impacto.
Estratégias eficazes para evitar a utilização indevida do acesso remoto em ataques de ransomware
Com os agentes de ameaças a abusarem constantemente do acesso remoto para fins maliciosos, os líderes de TI e de segurança têm de tomar medidas decisivas para reduzir o risco. Abaixo estão as ações mais impactantes que as organizações podem tomar para evitar o uso indevido:
Desativar o acesso remoto virado para o exterior
Os atacantes utilizam frequentemente credenciais de força bruta em computadores de secretária e servidores expostos à Internet pública. Mesmo a recente atualização do Windows 11 da Microsoft, que bloqueia automaticamente as tentativas de força bruta RDP, não consegue mitigar totalmente a ameaça, especialmente quando os atacantes têm em mãos um conjunto de credenciais roubadas.
Com 59% das organizações a sofrerem campanhas baseadas em phishing centradas no roubo de credenciais, juntamente com a presença de serviços da Dark Web dedicados à venda de credenciais, deve ser evidente que muitos atacantes já não dependem da força bruta para obter acesso.
Sempre que possível, eliminar o RDP acessível externamente e outras rotas de acesso remoto ao nível do ambiente de trabalho.
Considerar a possibilidade de parar completamente o RDP
Para o acesso remoto ao ambiente de trabalho, tanto externo como interno, a Microsoft tomou medidas para garantir que os seus serviços RDP são tão seguros quanto possível. Mas continua a existir um problema duplo:
- Primeiro, nem todas as organizações protegem o seu RDP em todos os terminais.
- Em segundo lugar, mesmo que seja seguro, os grupos de ransomware procuram agora explorações de dia zero (e estão dispostos a pagar somas de sete dígitos por elas), e a prevalência do RDP em quase todos os ambientes Microsoft torna-o um alvo privilegiado para os hackers que procuram encontrar formas de tirar partido das aplicações “de base” que estão amplamente disponíveis.
A mudança para soluções de acesso remoto seguras e modernas com controlos de acesso granular pode reduzir significativamente a superfície de risco.
Ativar a autenticação segura
A autenticação multifator (MFA) continua a ser uma das defesas mais eficazes contra a utilização indevida do acesso remoto. Exigir um segundo fator, como cartões inteligentes, certificados, aplicações autenticadoras ou chaves de hardware, torna as palavras-passe roubadas praticamente inúteis e impede o acesso não autorizado mesmo quando as credenciais são comprometidas.
Atualizar e corrigir regularmente o software
Atualizar e aplicar patches regularmente a todas as ferramentas e software de acesso remoto é crucial para manter os atacantes afastados. Os sistemas não corrigidos são um alvo principal para os cibercriminosos, pelo que manter as actualizações em dia é essencial para proteger a sua rede.
Educar e formar os empregados
Investir na formação em cibersegurança para aumentar a sensibilização para os riscos associados ao acesso remoto. A formação da sua força de trabalho sobre os perigos do phishing e da gestão de palavras-passe ajudará a reduzir a probabilidade de roubo de credenciais e de acesso não autorizado.
Poderá também interessar-lhe: VNC vs SSH: Escolher o protocolo de acesso remoto adequado para uma administração segura do sistema.
Reforça a segurança do acesso remoto com a RealVNC antes que seja tarde demais
As estratégias de segurança cibernética devem evoluir continuamente para refletir o panorama atual das ameaças. Estruturas como a MITRE ATT&CK existem exatamente por esse motivo — para ajudar as organizações a manterem-se alinhadas com a forma como os invasores operam em ambientes reais.
O acesso remoto continuará a ser um dos principais alvos dos grupos de ransomware até que as organizações deem prioridade à segurança na configuração, em vez da conveniência orientada para a produtividade.
Ao estudar os padrões de ataque actuais e implementar as recomendações acima, as organizações podem reforçar significativamente a segurança do seu ambiente de acesso remoto e reduzir a sua superfície de ataque interna e externa.
Resumindo: proteger o acesso remoto não é opcional, é fundamental para evitar riscos de segurança.
Chegou o momento de avaliar as suas soluções de acesso remoto e garantir que são suficientemente robustas para se defenderem das ameaças actuais.
Saiba mais sobre como as soluções de acesso remoto seguro da RealVNC podem ajudar a proteger a sua rede contra ataques de ransomware e bloquear tentativas de acesso não autorizado.
FAQs
Abaixo estão as respostas a algumas das perguntas frequentes sobre ataques de acesso remoto.
O que é um ataque de acesso remoto?
Um ataque de acesso remoto ocorre quando os cibercriminosos conseguem entrar sem autorização num sistema ou numa rede através de métodos de acesso remoto, como RDP, VPNs, SSH ou ferramentas remotas baseadas na nuvem. Estes ataques envolvem normalmente o roubo de credenciais, phishing ou a exploração de vulnerabilidades não corrigidas. Em muitos casos, os atacantes automatizam essas tentativas para atingir um grande número de sistemas expostos.
Que vulnerabilidades estão associadas ao acesso remoto?
As vulnerabilidades comuns incluem RDP mal configurado, palavras-passe fracas ou reutilizadas, pontos finais expostos, software desatualizado ou não corrigido, dispositivos pessoais não seguros e controlos de autenticação insuficientes. Estas fraquezas dão aos atacantes pontos de entrada fáceis para comprometer as redes.
Quais são os três principais tipos de acesso remoto?
As principais formas de acesso remoto incluem:
- Remote Desktop Protocol (RDP): O RDP é amplamente utilizado, mas frequentemente visado devido a portas abertas e credenciais fracas.
- Redes privadas virtuais (VPNs): As VPNs encriptam o tráfego, mas podem ser um ponto único de falha se forem comprometidas.
- Soluções de acesso remoto baseadas na nuvem: Estas ferramentas dependem muito da segurança da conta e da configuração correta do MFA.
