Por André Carneiro.
Com o advento da pandemia do coronavírus em 2020, vimos grande parte das empresas adaptando seus modelos de trabalho ao contexto e migrando para o formato remoto.
Essa transição foi muito benéfica tanto para as companhias quanto para os funcionários. Afinal, permitiu que os colaboradores pudessem manter seus empregos e que as operações continuassem rodando com todos em segurança. Entretanto, o que no momento pareceu uma estratégia de contenção, levou a uma verdadeira transformação no mundo corporativo, que até hoje é tema de discussão.
Prova do impacto dessa disrupção foi vista no levantamento da JLL Consultoria, que apontou que, atualmente, 85,6% das companhias brasileiras adotam o modelo híbrido de trabalho – versus apenas 26% pré-pandemia.
Cibercrimes: prejuízo financeiro pode ser desastroso e até acabar com os negócios de empreendimentos menores.
Por outro lado, embora esse formato possa trazer diversos benefícios para as organizações e para os quadros de funcionários, algo que nós, especialistas em segurança cibernética, notamos é que ele também abriu mais brechas para golpes e extorsões por meio de sequestros de dados, popularmente conhecidos como ransomware.
Os mecanismos que permitem o trabalho remoto, como o protocolo de área de trabalho remota (RDP), por exemplo, são um requisito externo necessário porém arriscado para muitas empresas. Isso porque os golpistas entendem as vulnerabilidades que eles trazem e, consequentemente, tentam sabotá-los ativamente.
Não leva muito tempo para um invasor encontrar e violar um servidor RDP exposto e, sem controles adicionais, fica fácil acessar os bancos de dados que conectam os usuários aos recursos da rede.
Ou seja: quando as pessoas habilitam um acesso remoto ao servidor para manutenção, compartilhamento de dados ou outro motivo, elas mesmas deixam a porta aberta para os golpistas entrarem.
Essa vulnerabilidade por si só já é alarmante. Na Sophos, empresa que lidero no Brasil, vimos que os atacantes têm usado esse tipo de golpe como porta de entrada para esquemas maliciosos maiores ou até para invadir empresas menores, sem infraestrutura de defesa cibernética. Resumindo, se a rede de um usuário está aberta para a equipe de TI, por exemplo, ela está aberta pro hacker também.
Entendendo o RDP: como funciona o Protocolo de Área de Trabalho Remota?
O protocolo de área de trabalho remota, ou RDP, foi criado há cerca de 20 anos, no início dos anos 2000. Esse tipo de padrão técnico permite que um computador seja utilizado de forma remota – os usuários podem acessar o desktop, abrir e editar arquivos e mexer em aplicativos como se realmente estivessem sentados à frente da máquina.
A grande questão é que essa praticidade abre espaço para que cibercriminosos também tenham acesso a dados dessa área de trabalho – especialmente quando a conexão remota não é feita via VPN, o que, naturalmente, deixaria o processo mais seguro.
Essa técnica, aliás, é uma das mais antigas utilizadas pelos atacantes e pode envolver vazamentos de dados e roubos de credenciais. Apesar de ter surgido há bastante tempo, esse tipo de incidente causa, hoje em dia, muito mais danos do que causava 20 anos atrás.
Pois, diferentemente daquela época, os dados de hoje são muito mais sensíveis. E os ataques de ransomware eram menos comuns do que são atualmente,
Isso faz com que todos fiquem mais preocupados com sistemas desprotegidos, já que o prejuízo financeiro pode ser desastroso e até acabar com os negócios de empreendimentos menores, como PMEs.
O barato realmente sai caro
Ao contrário do que muitos podem imaginar, os golpes cibernéticos não precisam ser extremamente elaborados para causar grandes estragos – as vulnerabilidades de RDP, inclusive, são um exemplo emblemático de como uma simples exposição pode acarretar em prejuízos de grande proporção. Nessa linha, existe outro ponto muito importante que merece destaque na discussão.
Recentemente, a Sophos lançou um relatório em que traz uma análise sobre versões baratas e de má qualidade de ransomware, produzidas de forma independente – chamadas de “junk gun”.
De acordo com o estudo, os desenvolvedores desse tipo de ameaça estão tentando romper com o modelo tradicional de ransomware como serviço (RaaS), que costuma ser mais elaborado, ao comercializar opções menos sofisticadas por um preço único, o que pode ser visto como uma oportunidade para cibercriminosos atingirem PMEs ou até mesmo indivíduos.
Isso acontece porque empresas de menor porte costumam deixar RDPs mais expostos justamente porque não acreditam que podem sofrer ataques. Nesses casos, os ransomware “junk gun” acabam sendo ideais para aplicar golpes de extorsão em PMEs, já que os pedidos de resgate são consideravelmente menores – assim como o capital do alvo.
Os criminosos têm implementado quatro dessas versões em seus ataques e os maiores argumentos de venda são que o produto requer pouca ou nenhuma infraestrutura de suporte para operar e que os usuários não são obrigados a compartilhar seus lucros com os criadores desses pacotes.
Como se proteger das ameças cibernéticas no ambiente de trabalho remoto?
Diante de todo esse cenário apresentado, a pergunta que fica é: como podemos fazer para nos proteger contra as crescentes e constantes ameaças cibernéticas?
Pois bem, antes de mais nada, proteger a rede para reduzir os serviços expostos e as vulnerabilidades é fundamental. Isso pode ser feito por meio de uma VPN e, claro, pela contratação de serviços de monitoramento e resposta gerenciada. Além disso, fortalecer as autenticações da companhias sempre as tornará mais seguras e capazes de combater os ciberataques.
O gerenciamento de riscos é um processo ativo, ou seja, as organizações que fazem esse trabalho de forma eficiente apresentam melhores condições de segurança do que aquelas que não o fazem. Um aspecto importante ao gerenciar riscos de segurança, além de identificá-los e classificá-los por ordem de prioridade, é agir com base nas informações.
No entanto, por muito tempo, certos riscos, como o RDP aberto, continuam a atormentar as organizações, para o deleite dos invasores que conseguem entrar pela porta da frente de uma instituição. Portanto, minha dica é para que as companhias estejam atentas e nunca acreditem que esse tipo de incidente não acontecerá com elas próprias.