Cibercriminosos abusaram do protocolo de RDP em 90% dos ataques que realizaram em 2023

O relatório “It’s Oh So Quiet (?): The Sophos Active Adversary Report for H1 2024”, apresentado pela Sophos, revela que os cibercriminosos abusaram do Remote Desk Protocol (RDP) - um método comum para estabelecer acesso remoto em sistemas Windows - em 90% dos ataques que realizaram.

O documento teve como base a análise a mais de 150 casos de resposta a incidentes tratados pela equipa da Sophos X-Ops no decorrer de 2023.

Os dados mostram agora que esta foi a incidência mais elevada de abuso do RDP desde que a Sophos começou a divulgar os relatórios Active Adversary, em 2021.

Os serviços remotos externos foram o vetor mais comum, usado inicialmente pelos atacantes para entrarem nas redes.

“Os serviços remotos externos são um requisito necessário, mas arriscado, para muitas empresas. Os atacantes compreendem os riscos que estes serviços representam e procuram ativamente subvertê-los devido às recompensas que lhes podem trazer. A exposição dos serviços sem uma consideração e atenuação cuidadosas dos seus riscos conduz inevitavelmente ao comprometimento. Não é preciso muito tempo para um atacante encontrar e violar um servidor RDP exposto e, sem controlos adicionais, para depois encontrar também o servidor Active Directory”, justificou afirmou John Shier, Field CTO da Sophos.

Os serviços remotos externos têm-se posicionado como a fonte mais frequente de acesso para os cibercriminosos – foram o método de acesso inicial em 65% dos casos de resposta a incidentes em 2023.

Entre as causas mais comuns para ataques encontram-se as credenciais comprometidas e a exploração de vulnerabilidades. No primeiro semestre de 2023 o “Active Adversary Report for Tech Leaders 2023” revelava que as credenciais comprometidas iriam ultrapassar pela primeira vez as vulnerabilidades como a causa mais frequente dos ataques, uma tendência que se verificou no decorrer de todo o ano, contribuindo para mais de 50% de todos os casos de resposta a incidentes. Entre 2020 e 2023, as credenciais comprometidas foram também a causa número um dos ataques. No entanto, em 43% dos casos de resposta a incidentes detetadas em 2023, as organizações não tinham autenticação multifator configurada. 

A exploração de vulnerabilidades foi a segunda causa mais comum dos ataques, tanto em 2023, como na análise cumulativa de 2020 a 2023.

“Um aspeto importante na gestão dos riscos de segurança, para além de os identificar e priorizar, é agir com base em informação. No entanto, há demasiado tempo que certos riscos, como o RDP aberto, continuam a assolar as organizações para deleite dos atacantes, que assim podem entrar pela ‘porta da frente’. Proteger a rede, reduzindo os serviços expostos e vulneráveis e reforçando a autenticação, tornará as organizações mais seguras no geral e mais capazes de derrotar os ciberataques”, afirma John Shier.