\u00c0 medida que mais organiza\u00e7\u00f5es avan\u00e7am para o trabalho remoto, equipas distribu\u00eddas e ambientes com liga\u00e7\u00e3o \u00e0 nuvem, as solu\u00e7\u00f5es de acesso remoto tornaram-se ferramentas indispens\u00e1veis para permitir a flexibilidade da for\u00e7a de trabalho.<\/p>\n\n
No entanto, embora o aumento do acesso remoto seja um excelente progresso tecnol\u00f3gico, criou mais pontos de acesso e mais oportunidades para os atacantes.<\/p>\n\n
Atualmente, os ataques de acesso remoto e a explora\u00e7\u00e3o do Remote Desktop Protocol (RDP) continuam a ser os m\u00e9todos de acesso inicial mais comuns utilizados por grupos de ransomware e cibercriminosos.<\/p>\n\n
Uma tend\u00eancia positiva? Temos agora relat\u00f3rios mais detalhados do que nunca. Os fornecedores de seguran\u00e7a, as equipas de IR e os meios de comunica\u00e7\u00e3o publicam frequentemente an\u00e1lises de incidentes que mostram com precis\u00e3o como os atacantes obt\u00eam acesso e que ferramentas de acesso remoto utilizam e como aumentam os privil\u00e9gios.<\/p>\n\n
Para as organiza\u00e7\u00f5es dispostas a prestar aten\u00e7\u00e3o, este n\u00edvel de transpar\u00eancia oferece dois grandes benef\u00edcios:<\/p>\n\n
Neste guia, analisamos as vulnerabilidades de acesso remoto mais comuns, a forma como os atacantes as exploram e os passos espec\u00edficos que pode seguir para proteger o seu ambiente e impedir ataques de ransomware baseados em RDP.<\/p>\n\n
As vulnerabilidades do acesso remoto<\/a> s\u00e3o a espinha dorsal de muitos ciberataques bem sucedidos. Fornecem uma porta aberta para que os atacantes se infiltrem na sua rede, roubem dados ou implementem software malicioso.<\/p>\n\n \u00c0 medida que o trabalho remoto global se expande, o risco de acesso remoto aumenta. De acordo com o F\u00f3rum Econ\u00f3mico Mundial<\/a>, o emprego digital global dever\u00e1 aumentar 25% at\u00e9 2030, acrescentando milh\u00f5es de novos pontos finais remotos que poder\u00e3o tornar-se potenciais pontos de entrada para os atacantes.<\/p>\n\n Isto sublinha a import\u00e2ncia de compreender estas vulnerabilidades para refor\u00e7ar a sua postura de seguran\u00e7a e evitar potenciais viola\u00e7\u00f5es.<\/p>\n\n Abaixo, discutimos as vulnerabilidades de acesso remoto mais comuns que as organiza\u00e7\u00f5es enfrentam atualmente:<\/p>\n\n Muitas organiza\u00e7\u00f5es n\u00e3o t\u00eam visibilidade e compreens\u00e3o abrangentes dos sistemas de acesso remoto, tais como configura\u00e7\u00f5es VPN, defini\u00e7\u00f5es RDP e controlos de acesso de terceiros.<\/p>\n\n Sem um invent\u00e1rio claro das ferramentas de acesso remoto e dos pontos finais, \u00e9 f\u00e1cil que ocorram configura\u00e7\u00f5es incorrectas. Essas lacunas no conhecimento podem levar a:<\/p>\n\n Al\u00e9m disso, os trabalhadores remotos podem, sem saber, ligar-se a uma rede Wi-Fi p\u00fablica n\u00e3o segura, aumentando o risco de ataques man-in-the-middle.<\/p>\n\n A partilha de palavras-passe \u00e9 uma pr\u00e1tica comum mas perigosa. Quando os empregados partilham credenciais, especialmente para sistemas de acesso remoto, torna-se dif\u00edcil controlar a responsabilidade.<\/p>\n\n As palavras-passe reutilizadas ou fracas tornam os sistemas vulner\u00e1veis a ataques de for\u00e7a bruta ou ao preenchimento de credenciais. Al\u00e9m disso, quando um empregado sai, o facto de n\u00e3o alterar as palavras-passe partilhadas pode deixar os sistemas abertos \u00e0 explora\u00e7\u00e3o muito depois de o empregado ter sa\u00eddo.<\/p>\n\n O ransomware e outros tipos de malware exploram software n\u00e3o corrigido. Muitas organiza\u00e7\u00f5es continuam a utilizar software RDP desatualizado, clientes VPN ou outros sistemas de acesso remoto, que s\u00e3o alvos conhecidos dos cibercriminosos. Vulnerabilidades nesses sistemas:<\/p>\n\n Muitos fornecedores de software lan\u00e7am regularmente patches para corrigir estas vulnerabilidades, mas a n\u00e3o aplica\u00e7\u00e3o de actualiza\u00e7\u00f5es deixa os sistemas expostos. Software de terceiros, plugins ou extens\u00f5es desactualizados ou inseguros tamb\u00e9m podem fornecer pontos de entrada n\u00e3o intencionais.<\/p>\n\n Os dispositivos pessoais, aqueles que n\u00e3o s\u00e3o geridos pelo departamento de TI da organiza\u00e7\u00e3o, representam um risco significativo quando s\u00e3o utilizados para o trabalho. Os empregados podem ligar-se a partir de:<\/p>\n\n Estes dispositivos tamb\u00e9m podem n\u00e3o ter actualiza\u00e7\u00f5es de seguran\u00e7a regulares, deixando as organiza\u00e7\u00f5es vulner\u00e1veis a ataques de malware e ransomware. Os dispositivos pessoais normalmente n\u00e3o t\u00eam o mesmo n\u00edvel de controlo, monitoriza\u00e7\u00e3o ou autentica\u00e7\u00e3o que os dispositivos geridos pela empresa, deixando-os vulner\u00e1veis a acessos n\u00e3o autorizados.<\/p>\n\n Muitas organiza\u00e7\u00f5es enfrentam desafios na aplica\u00e7\u00e3o de patches e na atualiza\u00e7\u00e3o de sistemas, especialmente quando lidam com infraestruturas antigas ou recursos de TI limitados. Os sistemas n\u00e3o corrigidos s\u00e3o alvos f\u00e1ceis para os cibercriminosos, que analisam ativamente as redes em busca de vulnerabilidades. Quando os patches s\u00e3o atrasados ou ignorados:<\/p>\n\n No caso do RDP, os atacantes utilizam frequentemente ataques de for\u00e7a bruta em servi\u00e7os fracos ou n\u00e3o corrigidos para obter acesso.<\/p>\n\n As c\u00f3pias de seguran\u00e7a s\u00e3o cruciais para a recupera\u00e7\u00e3o no caso de um ciberataque, mas as c\u00f3pias de seguran\u00e7a n\u00e3o seguras tamb\u00e9m podem ser um alvo. Os atacantes procuram frequentemente c\u00f3pias de seguran\u00e7a expostas na nuvem ou dados n\u00e3o encriptados, utilizando-os como pontos de ataque secund\u00e1rios. Sem controlos de acesso e encripta\u00e7\u00e3o fortes, estas c\u00f3pias de seguran\u00e7a podem tornar-se um ponto de entrada f\u00e1cil para o roubo de dados ou ransomware.<\/p>\n\n Negligenciar as actualiza\u00e7\u00f5es regulares dos dispositivos e as verifica\u00e7\u00f5es de seguran\u00e7a pode aumentar o risco de infec\u00e7\u00f5es por malware e ransomware. Com o tempo, os dispositivos acumulam vulnerabilidades, que:<\/p>\n\n A higiene regular dos dispositivos e a atualiza\u00e7\u00e3o do software de seguran\u00e7a s\u00e3o essenciais para reduzir o risco de viola\u00e7\u00f5es de seguran\u00e7a.<\/p>\n\n O phishing continua a ser um dos m\u00e9todos mais comuns para obter acesso n\u00e3o autorizado. Os cibercriminosos enviam:<\/p>\n\n Os atacantes est\u00e3o agora a utilizar t\u00e1cticas avan\u00e7adas, incluindo a aprendizagem autom\u00e1tica, para criar mensagens de phishing personalizadas e falsifica\u00e7\u00e3o de dom\u00ednios para tornar os seus ataques mais cred\u00edveis. Quando as credenciais s\u00e3o roubadas, podem ser facilmente utilizadas para aceder a sistemas de acesso remoto, como RDP, VPNs ou servi\u00e7os na nuvem.<\/p>\n\n H\u00e1 muito que se sabe que uma percentagem significativa de ataques de ransomware, independentemente da variante, come\u00e7a com phishing ou intrus\u00f5es baseadas em ambiente de trabalho remoto.<\/p>\n\n O phishing, que mencion\u00e1mos na sec\u00e7\u00e3o anterior, \u00e9 um ponto de entrada \u00f3bvio: quando bem sucedido, entrega aos atacantes uma sess\u00e3o de endpoint e credenciais de utilizador v\u00e1lidas. Mas os ataques ao ambiente de trabalho remoto (incluindo os realizados atrav\u00e9s de ferramentas comerciais de acesso remoto) oferecem o mesmo resultado.<\/p>\n\n Quer os atacantes utilizem tentativas de for\u00e7a bruta – testando milhares de palavras-passe – ou credenciais roubadas, adquiridas ou recolhidas de viola\u00e7\u00f5es anteriores, os ataques baseados em RDP continuam a ser igualmente eficazes e, por isso, ombreiam com o phishing como principal vetor de ataque inicial.<\/p>\n\n Um exemplo bem documentado envolve o MedusaLocker, uma variante de ransomware identificada pela primeira vez em 2019, que ressurgiu recentemente o suficiente para suscitar um Joint Cybersecurity Advisory<\/a> das ag\u00eancias governamentais. Os operadores do MedusaLocker visam<\/a> principalmente liga\u00e7\u00f5es RDP expostas \u2014 por vezes publicadas intencionalmente por conveni\u00eancia, outras vezes deixadas acidentalmente abertas. Depois de obterem acesso, implementam ransomware, encriptam dados cr\u00edticos e exigem pagamento.<\/p>\n\n Outro caso de grande impacto, documentado por investigadores da Sophos, revelou como um grupo que utilizava o ransomware LockBit se infiltrou numa rede do governo dos EUA atrav\u00e9s de RDP<\/a>. Surpreendentemente, os atacantes realizaram uma explora\u00e7\u00e3o lateral na rede durante cinco meses sem serem detectados antes de iniciarem a implementa\u00e7\u00e3o do ransomware.<\/p>\n\n Agora que j\u00e1 sabe como \u00e9 que os atacantes exploram as vulnerabilidades de acesso remoto para obter acesso, vamos discutir como \u00e9 que eles escalam e se movem lateralmente utilizando o acesso remoto:<\/p>\n\n Depois de os invasores obterem acesso local, a pr\u00f3xima fase l\u00f3gica, de acordo com o MITRE ATT&CK Framework, \u00e9 o movimento lateral. Os mecanismos de acesso remoto (especialmente o RDP interno) s\u00e3o normalmente utilizados de forma abusiva durante esta fase.<\/p>\n\n Dados recentes de uma empresa de resposta a incidentes de ransomware<\/a> Coveware mostram que o movimento lateral ocorre em cerca de 70% dos ataques de ransomware. Os seus analistas referem que esta fase “consiste principalmente no abuso do ambiente de trabalho remoto interno (RDP) ap\u00f3s o acesso inicial ter sido efectuado”.<\/p>\n\n Ao deslocarem-se lateralmente, os atacantes aumentam as permiss\u00f5es, acedem a pontos finais adicionais, localizam dados sens\u00edveis e posicionam o ransomware para obter o m\u00e1ximo impacto.<\/p>\n\n Com os agentes de amea\u00e7as a abusarem constantemente do acesso remoto para fins maliciosos, os l\u00edderes de TI e de seguran\u00e7a t\u00eam de tomar medidas decisivas para reduzir o risco. Abaixo est\u00e3o as a\u00e7\u00f5es mais impactantes que as organiza\u00e7\u00f5es podem tomar para evitar o uso indevido:<\/p>\n\n Os atacantes utilizam frequentemente credenciais de for\u00e7a bruta em computadores de secret\u00e1ria e servidores expostos \u00e0 Internet p\u00fablica. Mesmo a recente atualiza\u00e7\u00e3o do Windows 11 da Microsoft<\/a>, que bloqueia automaticamente as tentativas de for\u00e7a bruta RDP, n\u00e3o consegue mitigar totalmente a amea\u00e7a, especialmente quando os atacantes t\u00eam em m\u00e3os um conjunto de credenciais roubadas.<\/p>\n\n Com 59% das organiza\u00e7\u00f5es<\/a> a sofrerem campanhas baseadas em phishing centradas no roubo de credenciais, juntamente com a presen\u00e7a de servi\u00e7os da Dark Web dedicados \u00e0 venda de credenciais<\/a>, deve ser evidente que muitos atacantes j\u00e1 n\u00e3o dependem da for\u00e7a bruta para obter acesso.<\/p>\n\n Sempre que poss\u00edvel, eliminar o RDP acess\u00edvel externamente e outras rotas de acesso remoto ao n\u00edvel do ambiente de trabalho.<\/p>\n\n Para o acesso remoto ao ambiente de trabalho, tanto externo como interno, a Microsoft tomou medidas para garantir que os seus servi\u00e7os RDP s\u00e3o t\u00e3o seguros quanto poss\u00edvel. Mas continua a existir um problema duplo:<\/p>\n\n A mudan\u00e7a para solu\u00e7\u00f5es de acesso remoto seguras e modernas com controlos de acesso granular pode reduzir significativamente a superf\u00edcie de risco.<\/p>\n\n A autentica\u00e7\u00e3o multifator (MFA) continua a ser uma das defesas mais eficazes contra a utiliza\u00e7\u00e3o indevida do acesso remoto. Exigir um segundo fator, como cart\u00f5es inteligentes, certificados, aplica\u00e7\u00f5es autenticadoras ou chaves de hardware, torna as palavras-passe roubadas praticamente in\u00fateis e impede o acesso n\u00e3o autorizado mesmo quando as credenciais s\u00e3o comprometidas.<\/p>\n\n Atualizar e aplicar patches regularmente a todas as ferramentas e software de acesso remoto \u00e9 crucial para manter os atacantes afastados. Os sistemas n\u00e3o corrigidos s\u00e3o um alvo principal para os cibercriminosos, pelo que manter as actualiza\u00e7\u00f5es em dia \u00e9 essencial para proteger a sua rede.<\/p>\n\n Investir na forma\u00e7\u00e3o em ciberseguran\u00e7a para aumentar a sensibiliza\u00e7\u00e3o para os riscos associados ao acesso remoto. A forma\u00e7\u00e3o da sua for\u00e7a de trabalho sobre os perigos do phishing e da gest\u00e3o de palavras-passe ajudar\u00e1 a reduzir a probabilidade de roubo de credenciais e de acesso n\u00e3o autorizado.<\/p>\n\nFalta de informa\u00e7\u00e3o e visibilidade<\/h3>\n\n
\n
Partilha de palavras-passe e credenciais fracas<\/h3>\n\n
Software n\u00e3o seguro ou desatualizado<\/h3>\n\n
\n
Utiliza\u00e7\u00e3o de dispositivos pessoais para trabalho remoto<\/h3>\n\n
\n
Gest\u00e3o inadequada de patches<\/h3>\n\n
\n
C\u00f3pias de seguran\u00e7a vulner\u00e1veis<\/h3>\n\n
M\u00e1 higiene dos dispositivos<\/h3>\n\n
\n
Ataques de phishing<\/h3>\n\n
\n
Como os atacantes exploram as vulnerabilidades do acesso remoto para obter acesso<\/h2>\n\n
Exemplos reais de explora\u00e7\u00e3o de RDP<\/h4>\n\n
Como os atacantes escalam e se movem lateralmente usando o acesso remoto<\/h3>\n\n
Estrat\u00e9gias eficazes para evitar a utiliza\u00e7\u00e3o indevida do acesso remoto em ataques de ransomware<\/h2>\n\n
Desativar o acesso remoto virado para o exterior<\/h3>\n\n
Considerar a possibilidade de parar completamente o RDP<\/h3>\n\n
\n
Ativar a autentica\u00e7\u00e3o segura<\/h3>\n\n
Atualizar e corrigir regularmente o software<\/h3>\n\n
Educar e formar os empregados<\/h3>\n\n