Está em curso uma campanha de ciberataque em larga escala, com uma botnet composta por mais de 100.000 endereços IP a visar especificamente serviços de Ambiente de Trabalho Remoto (RDP) do Windows nos Estados Unidos. A ofensiva, que teve início a 8 de outubro, parece ser uma operação coordenada a partir de uma rede de dispositivos comprometidos em mais de 100 países.
O Protocolo de Ambiente de Trabalho Remoto (RDP) é uma ferramenta essencial que permite a administradores de sistemas, equipas de suporte e trabalhadores remotos controlar computadores Windows à distância. No entanto, esta conveniência torna-o também um alvo apetecível para hackers, que procuram constantemente explorar vulnerabilidades, forçar o acesso a credenciais ou encontrar portas abertas.
Como funciona este ataque em massa?
Segundo os investigadores da plataforma de monitorização de ameaças GreyNoise, que detetou a campanha, a botnet está a utilizar duas técnicas principais para identificar nomes de utilizador válidos nos sistemas-alvo. A primeira consiste em ataques de temporização ao RD Web Access, onde se mede a diferença no tempo de resposta do servidor durante a autenticação para inferir se um utilizador existe.
A segunda técnica interage diretamente com o fluxo de início de sessão do cliente web do RDP, observando o comportamento do servidor para enumerar contas de utilizador ativas. O objetivo de ambas as abordagens não é obter acesso direto, mas sim criar uma lista de nomes de utilizador válidos para futuros ataques mais direcionados.
Uma ameaça global e coordenada
A campanha foi detetada inicialmente devido a um pico de tráfego invulgar com origem no Brasil. Pouco depois, foi registada atividade semelhante proveniente de uma geografia muito mais vasta, incluindo países como Argentina, Irão, China, México, Rússia, África do Sul e Equador. No total, a lista de países com dispositivos comprometidos nesta botnet ultrapassa a centena.
A evidência de uma operação coordenada é reforçada pelo facto de quase todos os endereços IP partilharem uma impressão digital TCP comum. Embora existam algumas variações, os investigadores acreditam que estas se devem aos diferentes clusters de dispositivos que formam a rede de ataque.
Como proteger os seus sistemas?
Para se defenderem desta atividade maliciosa, os administradores de sistemas devem considerar o bloqueio dos endereços IP identificados como fonte dos ataques e verificar os registos dos servidores em busca de qualquer atividade suspeita de sondagem RDP.
Como recomendação geral de segurança, as ligações de ambiente de trabalho remoto nunca devem ser expostas diretamente à internet pública. A utilização de uma VPN e a implementação de autenticação multifator (MFA) são camadas de proteção adicionais essenciais para mitigar este tipo de ameaças.
Nenhum comentário
Seja o primeiro!