O RDP continua a ser motivo de insónia para os administradores de sistemas. Neste sentido, a Sophos tem estado a informar sobre a forma como os cibercriminosos exploram o RDP desde 2011, e que, no último ano, os grupos de cibercriminosos responsáveis por dois dos maiores ataques de ransomware direcionados, o Matrix e o SamSam, abandonaram quase por completo todos os outros métodos de acesso à rede a favor da utilização do RDP.

Matt Boddy, Especialista de Segurança na Sophos, e o principal investigador do relatório destaca, “Recentemente, uma falha de execução do código remoto no RDP – denominado de BlueKeep (CVE-2019-0708) – tornou-se conhecida. Trata-se de uma vulnerabilidade bastante grave que poderia ser utilizada para provocar o aparecimento de ransomware, que poderia ser disperso potencialmente pelo mundo numa questão de horas. No entanto, proteger-se contra ameaças RDP vai muito para além da reparação de sistemas contra o BlueKeep, que é apenas a ponta do iceberg. Além de ser necessário parar o BlueKeep, os gestores de TI precisam de prestar mais atenção ao RDP no geral porque, como demonstra a investigação da Sophos, os cibercriminosos estão ocupados 24/7 a investigar todos os computadores potencialmente vulneráveis expostos pelo RDP, com ataques de descoberta de palavras-passe.”

A nova investigação sobre o RDP da Sophos destaca a forma como os atacantes podem encontrar equipamentos habilitados para o RDP, quase ao mesmo tempo em que estes dispositivos aparecem na internet. Para demonstrá-lo, a Sophos implementou 10 honeypots1 dispersos geograficamente e de baixa interação, para medir e quantificar os riscos baseados no RDP.

Abaixo pode encontrar um resumo da investigação e uma declaração adicional de Boddy, também disponíveis para partilha:

As principais conclusões do estudo demonstram que:

  • Os 10 honeypots receberam a primeira tentativa de login do RDP em apenas um dia.
  • O Remote Desktop Protocol expõe os computadores em apenas 84 segundos.
  • Os 10 honeypots RDP registaram um conjunto de 4.298.513 tentativas falhadas de início de sessão durante um período de 30 dias. O que representa aproximadamente uma tentativa a cada seis segundos.
  • Em geral, o setor acredita que os cibercriminosos estão a utilizar sites como Shodan para verificarem as fontes RDP abertas, no entanto o estudo da Sophos destaca a forma como os cibercriminosos contam com as suas próprias ferramentas e técnicas para descobrir fontes RDP abertas e não dependem necessariamente apenas nos sites de terceiros para obterem acesso.

O comportamento dos hackers revelado

A Sophos identificou alguns padrões de ataque, com base no estudo, entre os quais se encontram três perfis principais/características de ataque: a RAM, a swarm e o hedgehog:

  • A ram é uma estratégia criada para descobrir a password de um administrador. Um exemplo dado durante a investigação foi que, durante 10 dias, um atacante realizou 109.934 tentativas de login no honeypot irlandês, utilizando apenas três nomes de utilizador para obter acesso.

  • A swarm é uma estratégia que utiliza nomes de utilizador consecutivos e um número determinado com as piores palavras-passe. Na investigação, observou-se um exemplo em Paris, com um atacante que utilizou o nome ABrown nove vezes durante 14 minutos, seguido outras nove tentativas com o nome BBrown, depois CBrown, seguido de DBrown, e assim por diante. O padrão foi repetido com A.Mohamed, AAli, ASmith, entre outros.

  • O hedgehog caracteriza-se por explosões de atividade seguidas por longos períodos de inatividade. Um exemplo foi observado no Brasil, onde cada pico criado por um endereço de IP, durou aproximadamente quatro horas e consistiu na descoberta entre 3.369 e 5.199 palavras chave.

Matt Boddy explica que significado tem para as empresas o alcance desta exposição por parte do RDP, “Neste momento, existem mais de três milhões de dispositivos acessíveis através do RDP em todo o mundo, e é atualmente o ponto de entrada preferencial para os cibercriminosos. A Sophos tem informado sobre a forma como os cibercriminosos que utilizam ransomware específico o BitPaymer, Ryuk, Matrix e SamSam têm abandonado quase por completo outros métodos utilizados para aceder às organizações, através da simples utilização à força contra as palavras-passe do RDP. Todos os honeypots foram descobertos em poucas horas, apenas porque estavam expostos à internet através do RDP. A principal conclusão – finaliza Broddy – é reduzir a utilização do RDP sempre que possível e assegurar que na empresa se tenha em conta as melhores práticas em relação à utilização de palavras-chave. As empresas precisam de agir em conformidade para colocar o protocolo de segurança correto para se protegerem contra os atacantes persistentes.”