Uma pesquisa realizada por analistas de segurança do CRIL (Cyble Research and Intelligence Labs) identificou recentemente vários grupos de ransomware que visam ativamente portas RDP abertas na tentativa de implantar ransomware.
Pode haver grandes problemas de segurança que podem ocorrer se uma porta RDP for deixada aberta na Internet sem ser protegida. Sistemas com portas RDP expostas podem ser facilmente localizados por agentes de ameaças por meio de varredura na Internet.
Depois disso, usando credenciais roubadas ou vulnerabilidades, os invasores podem facilmente obter acesso a sistemas vulneráveis explorando as portas RDP expostas.
CISA relatórios que alguns grupos de ransomware acessaram os dispositivos das vítimas usando configurações RDP vulneráveis, com o objetivo de criptografar seus dados e mantê-los como reféns, no processo. Entre esses grupos de ransomware, mencionamos alguns deles: –
Análise
A pesquisa descobriu que, durante o curso de sua análise, para lançar ataques de ransomware, os agentes de ameaças ainda usam ativamente serviços de Área de Trabalho Remota expostos.
Cyble Global Sensor Intelligence (CGSI) relata que durante um 3período de um mês, houve mais de 4.783.842 tentativas de exploração feitas por agentes de ameaças de vários grupos de ransomware, com pico nos seguintes intervalos em termos de número de tentativas:-
- Fim de setembro
- Meados de novembro
Mais de 18 casos indicando um incidente de ransomware foram identificados por meio de um dos scanners online da Cyble. A maioria desses casos é originária dos seguintes países: –
- Os Estados Unidos da América (EUA)
- A Federação Russa (RU)
Além destes dois países, há outros que se juntaram a esta lista, e aqui estão eles: –
- Coreia do Sul
- Holanda
- Índia
- Vietnã
Esses dados tornam mais fácil para qualquer pessoa obter uma compreensão clara das vulnerabilidades e das versões vulneráveis que foram usadas pelos atores da ameaça para obter acesso à rede de uma organização vítima.
As instâncias afetadas pela vulnerabilidade BlueKeep (CVE-2019-0708) ainda existem na Internet, com mais de 50.000 instâncias ainda expostas.
Nos fóruns da darkweb, foram identificadas mais de 154 postagens de vários atores de ameaças, oferecendo acesso RDP ilícito a um grande número de setores de infraestrutura crítica, como:-
- Governo
- LEA
- BFSI
- Fabricação
- Telecomunicações
Famílias de ransomware encontradas
Além da análise fornecida pelos pesquisadores da Cyble, foram identificadas cinco famílias de ransomware que têm como alvo portas RDP abertas no momento.
Abaixo mencionamos todas as famílias de ransomware detectadas:
O ransomware Redeemer é um binário baseado em C/C++ que tem como alvo windows sistemas operacionais.
O ransomware NYX surgiu em 2022. Ele é desenvolvido em C/C++. Este ransomware é possivelmente baseado no ransomware Conti.
Os pesquisadores identificaram esses dois grupos de ransomware visando portas RDP abertas. Dois grupos de ransomware podem ter se originado da mesma fonte
BlackHunt é um novo ransomware que foi identificado visando portas RDP abertas recentemente. Uma nota de resgate chamada “ReadMe” fornece instruções para descriptografar o arquivo
Especialmente no caso das cadeias de abastecimento, os ataques de ransomware causaram muitos danos. A escassez de serviços de infra-estruturas críticas tem um impacto negativo nas entidades públicas e estatais que dependem da sua disponibilidade para as suas operações diárias.
Recomendações
Uma abordagem proativa deve ser adotada pelas organizações que lidam com infraestruturas críticas, a fim de evitar a ocorrência de ataques de ransomware.
Abaixo mencionamos as recomendações oferecidas pelos especialistas em segurança: –
- Certifique-se de que aplicativos e dispositivos desatualizados sejam corrigidos.
- Segmente a rede adequadamente e implemente as medidas de segurança adequadas.
- Utilize listas de materiais de software para aumentar a visibilidade dos ativos.
- Mantenha um firewall bem configurado e atualizado.
- Certifique-se de que as portas abertas que não estão sendo gerenciadas pelo administrador estejam fechadas.
- Uma auditoria e um exercício de VAPT devem ser realizados regularmente.
- O monitoramento e registro de ativos devem ser realizados de maneira adequada.
- Certifique-se de que a organização implemente controles de acesso adequados.
- A organização deve implementar um programa de conscientização sobre segurança cibernética para seus funcionários.
- Certifique-se de que a organização siga uma política de senha forte.
