Como interromper ataques de ransomware baseados em RDP com o Illumio
Mais de 90 por cento dos ataques de ransomware são evitáveis, de acordo com Gartner. Eles também são bastante previsíveis até certo ponto, já que os atacantes tendem a seguir um dos poucos vetores de ameaça. A mais popular é a exploração do Remote Desktop Protocol (RDP), responsável por quase metade dos ataques no terceiro trimestre de 2021, de acordo com uma estimativa.
Resumindo: se sua organização pode melhorar em parar ataques de ransomware via RDP, ele tem uma grande chance de minimizar o risco cibernético em todos os aspectos.
A boa notícia é que a Illumio oferece visibilidade e controle onde as organizações mais precisam: entender onde elas estão mais expostas e, em seguida, implantar políticas em grande escala para restringir as comunicações RDP.
O que é RDP?
O RDP é um protocolo da Microsoft que permite que usuários de computador se conectem remotamente a PCs e servidores. Ele roda em todos os servidores Windows — onipresença que também o torna o principal alvo de ataques.
Os ataques de RDP surgiram durante a pandemia, quando o uso de soluções de acesso remoto pelos trabalhadores domésticos também aumentou. De acordo com um estudo, o volume de dispositivos que expõem o RDP à Internet pública em portas padrão aumentou mais de 40% em um único mês.
Como o RDP é abusado?
Existem vários fatores que explicam por que o RDP ataques de ransomware são tão bem-sucedidos.
Muitas organizações têm pouca visibilidade de sua infraestrutura de rede de TI. Isso significa que eles podem não saber quantas vias de RDP estão abertas. Os ataques também aproveitam os desafios comuns de segurança corporativa, incluindo o gerenciamento eficaz de patches e senhas.
Veja como funciona:
- Um invasor procurará Servidores Windows com endereços IP públicos e uma porta aberta 3389 (comumente usada para RDP).
- Depois de localizá-los, o agente da ameaça procurará comprometer os servidores expostos por meio de:
- Explorando as vulnerabilidades da Microsoft que podem permitir que eles ignorem a autenticação RDP ou executem malware diretamente por meio de uma conexão.
- Contas RDP de força bruta protegidas apenas com credenciais fracas. Às vezes, essas tentativas automatizadas de adivinhação de senha será realizado durante vários dias para evitar acionar o alarme.
- Depois que o acesso inicial for alcançado, o invasor poderá usar o RDP ou outras técnicas para mover-se lateralmente para outros ativos e dados. Eventualmente, ele terá construído uma posição grande o suficiente na rede da vítima para implantar um ransomware generalizado e/ou roubar dados confidenciais para extorsão.
Interrompendo ataques de ransomware RDP
A prevenção de ataques de ransomware RDP envolve, em parte, garantir que os sistemas estejam protegidos com patches atualizados e ativar a autenticação multifatorial para mitigar as tentativas de quebra de senhas.
Mas, mais fundamentalmente, trata-se de entender primeiro onde o RDP está sendo executado em sua organização e onde você pode cortar conexões sem afetar os processos de negócios ou a produtividade. Bloquear a porta 3389 nesses servidores resolverá o problema.
Reduzir a superfície de ataque dessa forma pode ajudar a minimizar o número de possíveis pontos de intrusão. Isso também reduzirá a oportunidade de os invasores aproveitarem o RDP para se moverem por uma rede. Isso deixa um número menor de servidores restantes para monitorar e proteger com as políticas de autenticação de melhores práticas.
Como a Illumio pode ajudar
O Illumio já está sendo usado por alguns dos maiores e mais exigentes do mundo organizações para mitigar a ameaça de ransomware, incluindo mais de 10% das empresas da Fortune 100. Oferecemos o granular visibilidade você precisa entender onde a comunicação RDP está ocorrendo e o controle para bloqueá-la quando necessário.
A abordagem simples de três etapas da Illumio para minimizar o risco de ransomware RDP é a seguinte:
- Mapeie todos os servidores e conexões RDP
- Identifique comunicações RDP essenciais e não essenciais
- Aja com a implantação simples e rápida de políticas para restringir comunicações não essenciais em grande escala
Para ler mais conselhos sobre as melhores práticas sobre como mitigar o risco de ransomware e como a Illumio pode ajudar a bloquear ameaças, confira nosso novo e-book, Como impedir ataques de ransomware.