A descoberta indica risco para as empresas que ativaram subitamente o trabalho remoto via RDP durante o surto de Covid-19
O SANS Institute registrou um aumento de 30% no interesse de invasores sobre os servidores RDP (Remote Desktop Protocol) durante o mês de março de 2020. Esse aumento coincide com um aumento significativo do número de servidores RDP expostos na rede, conforme relatórios elaborados com dados do Shodan.
As conclusões de março, segundo o SANS, são preocupantes pois coincidem também com o aumento exponencial do número de empresas mundo que precisaram fechar escritórios e rapidamente disponibilizar recursos para o trabalho remoto de seus funcionários. Para fazer isso de maneira rápida e barata, muitas organizações optaram pelo RDP, que pode expor dados quando mal configurado.
Maurício Corrêa, Chief Technology Officer da empresa brasileira XLabs, especializada em segurança da informação, confirma que está havendo um aumento dos ataques, registrados nos logs de seu SOC (security operations center) – e não só em RDP, mas também sobre outros serviços, inclusive RDP’s que administram serviços de DNS. “Temos evidências inclusive de que o grupo chinês APT41, destacado no último relatório da FireEye, está em atividade tentando invadir empresas e instituições brasileiras. Eles buscaram principalmente sistemas de empresas da área de turismo e saúde, provavelmente para levantar dados sobre o deslocamento de certas pessoas. Além desse setor, também estiveram tentando invadir endereços de empresas de energia e petróleo”, revelou Corrêa..
O que é RDP
O Remote Desktop Protocol (RDP) é um protocolo desenvolvido pela Microsoft, que proporciona aos usuários, por meio de uma interface gráfica, uma conexão a outro computador. Segundo o SANS, é uma maneira barata e simples para as empresas habilitarem o trabalho remoto para os funcionários. O usuário emprega o software cliente RDP para esse fim, enquanto o outro computador deve executar o software do servidor RDP.
Veja isso
Hackers usam o ActiveX RDP do Windows 10 para executar o TrickBot
Empresa de software para bancos cai em ransomware
Johannes Ullrich, pesquisador do Instituto de Tecnologia SANS, explica mais: “Em Março, cresceu em 30% o número de endereços IP que os invasores usavam para pesquisar RDP na Internet. Foram em média 3.540 endereços a cada dia”, enquanto no período anterior esse número era de 2.600 – cada IP, um ataque. Segundo Ullrich, o RDP “não é um protocolo suficientemente robusto para ser exposto à Internet. Conseqüentemente, agora estamos vendo invasores negociando ativamente credenciais fracas que eles identificaram para esses servidores RDP. Um servidor RDP comprometido pode levar a um comprometimento completo do sistema exposto e provavelmente será usado para atacar e explorar sistemas adicionais dentro da rede “.
Para empresas que já implementaram o RDP, Ullrich aconselha o uso de “senhas únicas, longas e aleatórias para proteger seus servidores RDP e, se possível, forneça acesso apenas por meio de uma VPN. A Microsoft também oferece o Gateway RDP, que pode ser usado para implementar autenticação forte. Você pode tentar limitar o acesso ao RDP apenas para endereços IP específicos, se não conseguir implementar uma VPN agora, mas isso pode ser difícil se os seus colaboradores estiverem trabalhando em casa com endereços IP dinâmicos”.
