Pesquisadores apontam que Brasil tem mais de 6000 credenciais RDP à venda na Darknet.

Muitas empresas usam o protocolo RDP – Remote Desktop Protocol, para administrar remotamente seus PCs e dispositivos móveis. Mas os especialistas advertem que credenciais RDP fracas estão em larga circulação nos mercados da Darknet e são cada vez mais usadas por atacantes de rede.

Em reportagem feita pelo Information Security Media Group, diz Paul Pratley, chefe de investigações e resposta a incidentes no MWR InfoSecurity em Londres, diz que “os ataques contra servidor RDP e as credenciais de usuários finais existem a muitos anos“mas atualmente, os atacantes usam botnets para procurar automaticamente dispositivos conectados à Internet com portas RDP expostas e eles atacam-na testando combinações de usuários e senhas até que suas ferramentas de ataque encontrem uma correspondência, para logo depois vendê-las na net.

As credenciais RDP roubadas “costumavam ser usadas para distribuir coisas como agentes de ataque DDoS e malwares mineradores de Bitcoins, diz Pratley. No entanto, desde o final de 2015, os atacantes do ransomware começaram a usar cada vez mais o RDP.

O protocolo RDP, desenvolvido pela Microsoft,   permite o acesso gráfico à máquina cliente a partir de um servidor de tráfego TCP . Os clientes RDP estão disponíveis na maioria das versões Windows, Linux , Unix, macOS, iOS, Android e outros.

RDP mal protegido dá aos hackers um ponto de entrada potencial nas redes corporativas. “Uma vez que um hacker garante credenciais de login para acesso RDP, ele possui o próprio sistema onde o servidor RDP está instalado“, diz Vitali Kremez, analista de inteligência de cibercrimes da empresa de inteligência de ameaças Flashpoint. “Além de poderem lançar ataques externos e se mover lateralmente nas redes, os invasores podem então plantar softwares maliciosos, filtrar dados e / ou manipular as configurações de rede“.

As organizações que não conseguem proteger adequadamente as conexões RDP podem ter suas credenciais de servidor RDP para venda em mercados de darknet.

Em junho de 2016, a empresa de segurança Kaspersky Lab advertiu que 250.000 credenciais para servidores RDP em todo o mundo pareciam estar à venda por apenas 6 dólares cada uma no cibercrime e fórum e mercado russo chamado xDedic.

Mas xDedic não é a única loja RDP da cidade. Outro site chamado UAS – “Ultimate Anonymity Services” – está online desde o dia 16 de fevereiro de 2016, oferecendo mais de 35 mil servidores RDP brutos-forçados para venda, além de Socket Secure – SOCKS – proxies para redes cliente / servidor, de acordo com a Flashpoint.

Mapa de venda de credenciais RDPs em 30 países (fonte: flashpoint)

Segundo a reportagem feita pelo Information Security Media Group, o pesquisadores encontraram o maior número de credenciais RDP individuais para venda nos seguintes países:

  • China: 7.216 RDPs
  • Brasil: 6.143 RDPs
  • Índia: 3.062 RDPs
  • Espanha: 1.335 RDPs
  • Colômbia: 929 RDPs

O UAS também lista cerca de 300 RDPs para servidores dos EUA, principalmente em partes de Virginia, Ohio, Califórnia e Oregon.

A maioria dos RDPs são geograficamente agregados em alguns códigos postais específicos“, diz Rowley e Kremez. “Essa concentração pode indicar a exploração oportunista de um punhado de empresas que utilizam múltiplos RDPs, é provável que essas empresas tenham medidas de segurança frouxas, levando a um maior número de RDPs vulneráveis“.

Solução

Uma das formas de fortificar o uso de credenciais de alta exposição na web, como as credenciais RDP de acesso remoto, e internalizar o seu controle através do uso de cofres de senhas, PAM, que são capazes de fortificar suas senhas e limitar seu uso de acordo com aprovação antecipada ou mesmo interrompê-las caso comportamentos não desejáveis sejam observados.

O uso de softwares PAM permite que a senha de acesso não seja revelada diretamente ao seu usuários, podendo ser apenas acessada através de emulação de terminal iniciada a partir de chamada com o usuário regular da rede interna e parametrizada com a senha de acesso autorizada. Esta “ponte” inibe a exposição direta da credencial privilegiada na net e permite um maior controle e monitoramento sobre o seu uso.

Fonte: Bank Security Info