RDP é a abreviatura de Remote Desktop Protocol, uma funcionalidade que permite que um computador se ligue a outro computador através de uma rede para usá-lo de forma remota. A partir dessa ligação, uma pessoa pode abrir pastas, fazer o download e upload de ficheiros e executar programas, como se estivesse a usar o teclado e o monitor ligados a esse servidor.
Mas atenção aos ataques via RDP! ESET alerta para o aumento deste tipo de ataques.
A ESET divulgou o seu Threat Report correspondente ao quarto trimestre de 2020, resumindo as principais estatísticas recolhidas pelos sistemas de deteção da especialista em cibersegurança. A transição rumo ao trabalho à distância, a partir de casa, por causa da pandemia, assinalou o crescimento de ataques Remote Desktop Protocol (RDP), embora a um ritmo inferior quando comparado com os anteriores trimestres de 2020.
Roman Kováč, Chief Research Officer da ESET, explicou que…
A segurança RDP não deve ser menosprezada em especial devido a ataques ransomware, que são habitualmente usados em exploits RDP” (…) com as suas táticas cada vez mais agressivas, ele representa um grande risco para os setores privado e público
O que fazem os hackers com o RDP?
Uma vez que os atacantes conhecem o tipo de servidor e o que controlam podem começar a realizar ações maliciosas. Algumas das atividades maliciosas mais comuns que temos visto incluem:
- Apagar ficheiros de registo que denunciem a sua presença no sistema;
- Desabilitar as cópias de segurança programadas e as shadow copies;
- Desabilitar o software de segurança ou configurar as suas exclusões (o que apenas é permitido a administradores);
- Descarregar e instalar vários programas no servidor;
- Apagar ou subscrever cópias de segurança antigas, se estiverem acessíveis.
Para se proteger de ataques RDP:
- 1. Desative ligações externas a máquinas locais na porta 3389 (TCP / UDP) no firewall de perímetro. (1)
- 2. Teste e implemente patches para a vulnerabilidade CVE-2019-0708 (BlueKeep) e ative NLA (Network Level Authentication) o quanto antes.
- 3. Para todas as contas que possam iniciar sessão através de RDP, devem ser consideradas passwords complexas (é obrigatória uma password grande, que possua no mínimo mais de 15 caracteres sem palavras relacionadas com a empresa, nomes de produtos ou utilizadores).
- 4. Instale autenticação de dois fatores (2FA) e, no mínimo, exija-a em todas as contas que possam iniciar sessão através de RDP.
- 5. Instale uma VPN para gerir todas as ligações RDP de fora da sua rede local.
- 6. Proteja com password o software de segurança para endpoint utilizando uma password segura não relacionada com contas administrativas e de serviço.
- 7. Ativar o bloqueio de exploits no software de segurança para endpoint.
- 8. Isole qualquer computador inseguro o qual seja acedido a partir da internet utilizando RDP.
- 9. Substitua os computadores inseguros.
- 10. Considere estabelecer o bloqueio de geoIP na gateway de ligação VPN.
- (1) Por omissão, o RDP opera no porto lógico 3389. Se alterou esse porto para um valor diferente, então essa é esse porque que deve ser bloqueada.
- Deve verificar se o seu software de segurança deteta a vulnerabilidade BlueKeep. Esta vulnerabilidade é detetada como RDP/Exploit.CVE-2019-0708 pelo módulo Network Attack Protection da ESET, que é uma extensão da tecnologia de firewall da ESET presente nos programas de proteção de endpoints da ESET para empresas. Se estiver a utilizar software de segurança de outro fornecedor, consulte-os para saber se deteta Bluekeep e como.
- Tenha em consideração que estes passos representam apenas o início do que pode fazer para se proteger contra os ataques RDP. Embora a deteção de ataques seja um bom começo, não substitui a importância do patch ou substituição dos computadores vulneráveis. Saber mais aqui.
Outra tendência observada no quarto trimestre foi um aumento de ameaças de email relacionados com a pandemia, especialmente aqueles a respeito dos programas de vacinação de fim de ano. As vacinações ofereceram a cibercriminosos uma oportunidade de expandir os seus portfolios de engodos usados, uma tendência que se espera que continue no decorrer de 2021.
A história em destaque neste Threat Report lembra os eventos de outubro de 2020, quando a ESET fez parte de uma campanha de disrupção global que teve como alvo o TrickBot, um dos maiores e mais duradouros botnets. Este esforço coordenado permitiu derrubar 94% dos servidores do TrickBot numa só semana.
O Threat Report do quarto trimestre de 2020 da ESET também analisa as mais importantes descobertas e realizações dos seus investigadores, incluindo o desvendar de um até então desconhecido grupo APT que visava os Balcãs e a Europa Oriental designado XDSpy, e um número impressionante de ataques supply-chain, desde o ataque Lazarus na Coreia do Sul, até ao Operation SignSight no Vietname.
Finalmente, a ESET chama a atenção neste relatório para as numerosas palestras levadas a cabo pelos seus especialistas no quarto trimestre, introduz palestras planeadas para a conferência RSA em maio de 2021, e oferece uma visão geral das suas contribuições para a base de conhecimentos MITRE ATT&CK.