A partir de um único sucesso em um ataque de força bruta contra um servidor RDP exposto, pesquisadores mapearam uma série de logins provenientes de diversos endereços IP interligados por VPNs geo-distribuídas. A análise detalhada dos artefatos no host comprometido revelou intensa atividade de enumeração de domínio, busca por credenciais em arquivos locais e uso de ferramentas administrativas para reconhecimento da rede.
A investigação levou à identificação de uma infraestrutura típica de ecossistema ransomware-as-a-service, com operadores focados na obtenção de acesso inicial e coleta massiva de credenciais para posterior venda ou uso em campanhas de sequestro de dados. O caso demonstra que um único alerta de força bruta bem analisado pode expor uma cadeia inteira de atores e serviços maliciosos.
Os especialistas recomendam endurecer a superfície de RDP por meio de VPNs, MFA, políticas de bloqueio de conta e monitoramento mais granular de tentativas de login. Também é essencial que equipes de segurança “deem zoom out” em incidentes aparentemente simples, correlacionando telemetria de autenticação, VPN, proxy e EDR para identificar infraestruturas criminosas maiores.
Sistemas Afetados
- Servidores Windows com RDP exposto
- Ambientes corporativos com autenticação fraca em serviços remotos
Fonte: BleepingComputer
Ler fonte original