PapoFácil: Sophos lança pesquisa sobre o desafio e quebra cabeças da segurança

André Amaral Carneiro, Country Manager, comenta sobre os resultados da pesquisa sobre cibersegurança na qual indica pontos importantes de vulnerabilidade, como as empresas precisam se proteger usando um novo paradigma de segurança que integra todas as soluções por meio de um gerenciamento na nuvem usando deep learning e inteligência artificial, chamada de segurança sincronizada, visando resolver o grande quebra-cabeças da segurança para as pessoas e empresas.

Gravado dia 18/07/2019

PAPOFÁCIL #367 Sophos lança pesquisa sobre o desafio e quebra cabeças da segurança

A Sophos apresenta os principais resultados da pesquisa The Impossible Puzzly of Cybersecurity.

A empresa também lança hoje uma nova pesquisa chamada “RDP exposto: A ameaça está à sua porta“, revelando como os cibercriminosos estão incansavelmente tentando atacar as organizações por meio do protocolo RDP (Remote Desktop Protocol). Abaixo, resumimos algumas das principais informações sobre este importante tema. Caso se interesse em escrever uma materia, ou se ja estiver trabalhando em histórias sobre o RDP em geral, acreditamos que esses dados podem ser úteis para você:

RDP continua a ser o motivo de noites sem dormir para administradores de sistemas. Como você deve saber, a Sophos tem informado sobre cibercriminosos que exploram o RDP desde 2011 e, no ano passado, grupos cibercriminosos por trás de dois dos maiores ataques de ransomware alvo, Matrix e SamSam, abandonaram quase completamente todos os outros métodos de ingresso na rede para aderir ao uso do RDP.

Matt Boddy, especialista em segurança da Sophos e principal pesquisador do relatório, afirma: “Mais recentemente, uma falha remota de execução de código no RDP – apelidada de BlueKeep (CVE-2019-0708) – vem sendo manchete. Esta é uma vulnerabilidade tão séria que poderia ser usada para disparar um surto de ransomware que poderia se espalhar pelo mundo em horas. No entanto, a proteção contra ameaças RDP vai muito além de remendar sistemas contra o BlueKeep, que é apenas a ponta do iceberg. Além disso, os gerentes de TI precisam prestar mais atenção ao RDP geral porque, como mostra a pesquisa da Sophos, os cibercriminosos estão ocupados examinando todos os computadores potencialmente vulneráveis expostos pelo RDP 24/7 com ataques de adivinhação de senha ”, afirma Boddy.

A nova pesquisa de RDP da Sophos destaca como os invasores conseguem encontrar dispositivos habilitados para RDP assim que esses dispositivos apareçam na Internet. Para demonstrar isso, a Sophos implantou 10 honeypots de baixa interação geograficamente dispersos para medir e quantificar os riscos baseados em RDP.

Abaixo está um resumo da pesquisa e uma citação adicional de Boddy. As principais conclusões da pesquisa mostram que:

• Todos os 10 honeypots receberam a primeira tentativa de login no RDP dentro de um dia;
• Protocolo de Área de Trabalho Remota expõe PCs em apenas 84 segundos;
• Os 10 honeypots do RDP registraram um total de 4.298.513 tentativas de login mal sucedidas em um período de 30 dias. Isso é aproximadamente uma tentativa a cada seis segundos;
• Em geral, a indústria acredita que os cibercriminosos estão usando sites como o Shodan para procurar fontes abertas de RDP, mas a pesquisa da Sophos destaca como os cibercriminosos têm suas próprias ferramentas e técnicas para encontrar fontes abertas de RDP e não estão necessariamente confiando apenas em sites de terceiros encontrar acesso;

Comportamentos de hackers revelados 

A Sophos identificou padrões de ataque, baseados na pesquisa. Isto inclui três perfis principais características de ataque nomeadas em: o carneiro, o enxame e o ouriço:

• O carneiro é uma estratégia projetada para descobrir uma senha de administrador. Um exemplo da pesquisa é que, ao longo de 10 dias, um invasor fez 109.934 tentativas de login no honeypot da Irlanda usando apenas três nomes de usuários para obter acesso.
• O enxame é uma estratégia que usa nomes de usuário sequenciais e um número finito das piores senhas. Um exemplo da pesquisa foi visto em Paris com um invasor usando o nome de usuário ABrown nove vezes ao longo de 14 minutos, seguido por nove tentativas com o nome de usuário BBrown, depois CBrown, seguido por DBrown, e assim por diante. O padrão foi repetido com A.Mohamed, AAli, ASmith e outros.
• O ouriço é caracterizado por explosões de atividade seguidas por períodos mais longos de inatividade. Um exemplo no Brasil viu cada pico gerado por um endereço IP, durou aproximadamente quatro horas e consistiu entre 3,369 e 5,199 palpites de senha.