Os cibercriminosos abusaram do protocolo de desktop remoto (RDP) – um método comum para estabelecer acesso remoto em sistemas Windows – em 90% dos ataques. Os dados são do “It’s Oh So Quiet (?): The Sophos Active Adversary Report for 1H 2024”. Um relatório que analisa mais de 150 casos de resposta a incidentes tratados pela equipa da Sophos X-Ops em 2023.
Os serviços remotos externos, como o RDP, foram o vetor mais comum usado pelos atacantes para entraram inicialmente nas redes. Um método de acesso inicial em 65% dos casos de resposta a incidentes em 2023.
Da análise verificou-se que os serviços remotos externos têm sido consistentemente a fonte mais frequente de acesso inicial para os cibercriminosos desde que a Spphos começou a lançar os relatórios Active Adversary, pelo que as equipas de defesa devem considerar isto um sinal claro para darem prioridade à gestão destes serviços ao avaliar o risco para as empresas.
“Os serviços remotos externos são um requisito necessário, mas arriscado, para muitas empresas. Os atacantes compreendem os riscos que estes serviços representam e procuram ativamente subvertê-los devido às recompensas que lhes podem trazer. A exposição dos serviços sem uma consideração e atenuação cuidadosas dos seus riscos conduz inevitavelmente ao comprometimento. Não é preciso muito tempo para um atacante encontrar e violar um servidor RDP exposto e, sem controlos adicionais, para depois encontrar também o servidor Active Directory,” afirmou John Shier, Field CTO da Sophos.
A empresa especializada em soluções de cibersegurança avançada, Sophos, indicou que no caso de um cliente da Sophos X-Ops, os atacantes comprometeram com sucesso a vítima quatro vezes num espaço de seis meses, obtendo sempre acesso inicial através das suas portas RDP expostas. Uma vez dentro da rede, os atacantes continuaram a mover-se lateralmente, descarregando binários maliciosos, desativando a proteção de endpoints e estabelecendo acesso remoto.
As credenciais comprometidas e a exploração de vulnerabilidades continuam a ser as duas causas mais comuns de ataques. No entanto, o “Active Adversary Report for Tech Leaders 2023”, lançado em agosto passado, descobriu que, no primeiro semestre do ano, as credenciais comprometidas ultrapassaram pela primeira vez as vulnerabilidades como a causa mais frequente dos ataques. Essa tendência continuou durante todo o ano passado – as credenciais comprometidas foram a causa raiz de mais de 50% de todos os casos de resposta a incidentes. Analisando os dados do Active Adversary de forma cumulativa entre 2020 e 2023, as credenciais comprometidas também foram a causa número um dos ataques, envolvidas em quase um terço de todos os casos de resposta a incidentes. No entanto, apesar desta prevalência histórica, em 43% dos casos de resposta a incidentes em 2023, as organizações não tinham autenticação multifator configurada.
A exploração de vulnerabilidades foi a segunda causa mais comum dos ataques, tanto em 2023 como na análise cumulativa de 2020 a 2023, representando 16% e 30% dos casos de resposta a incidentes, respetivamente.
“A gestão do risco é um processo ativo. As organizações que o fazem bem registam situações de segurança mais favoráveis do que as que não o fazem, perante as ameaças contínuas de atacantes determinados. Um aspeto importante na gestão dos riscos de segurança, para além de os identificar e priorizar, é agir com base em informação. No entanto, há demasiado tempo que certos riscos, como o RDP aberto, continuam a assolar as organizações para deleite dos atacantes, que assim podem entrar pela ‘porta da frente’. Proteger a rede, reduzindo os serviços expostos e vulneráveis e reforçando a autenticação, tornará as organizações mais seguras no geral e mais capazes de derrotar os ciberataques,” afirmou John Shier.
O relatório Sophos Active Adversary para o primeiro semestre de 2024 baseia-se em mais de 150 investigações de resposta a incidentes em todo o mundo, em 26 setores. As organizações visadas estão localizadas em 23 países diferentes, incluindo os EUA, Canadá, México, Colômbia, Reino Unido, Suécia, Suíça, Espanha, Alemanha, Polónia, Itália, Áustria, Bélgica, Filipinas, Singapura, Malásia, Índia, Austrália, Kuwait, Emirados Árabes Unidos, Arábia Saudita, África do Sul e Botswana.
