Utilização de ferramentas de acesso remoto (RMM)

Ataques de phishing é uma das formas mais simples de conseguir um meio de transporte para dentro de um ambiente corporativo. O ataque utiliza de técnicas comportamentais e até sentimentais dos colaboradores, justificando um clique que pode dar uma boa dor de cabeça para a empresa.

Esse tipo de tática executado com sucesso, é seguido por uma técnica de persistência e temos observado que agentes maliciosos estão utilizando ferramentas conhecidas para acesso remoto ao ambiente, dentre elas, Anydesk, TeamViewer, Atera e outros.

Com isso, é possível passar por diversas camadas de segurança, visto que comumente são ferramentas utilizadas pelo próprio time de infraestrutura interno.

Dicas para se proteger desse tipo de tática.

1 – Utilizar software pago com customizações pelo time de infraestrutura, assim você consegue limitar somente de determinados lugares suas estações deverão aceitar conexões;

2 – Bloquear conexões de qualquer outra ferramenta de acesso remoto no firewall, permitindo apenas a que utiliza, isso se ainda for necessário liberar acesso externo;

3 – Seguindo nessa linha, caso sua plataforma permita um servidor interno ou um gateway interno dessa conexão, você limita as conexões apenas internas na rede;

4 – Utilize seu MDM (Mobile Device Management) para permitir apenas execuções dos softwares permitidos;

5 – Configure seu XDR para bloquear executáveis conhecidos diferente do utilizado internamente;

6 – Treinamentos com os colaboradores, essa etapa para mim é essencial a que mais protege o ambiente corporativo.

Referências:

https://www.csoonline.com/article/3487743/attackers-increasingly-using-legitimate-remote-management-tools-to-hack-enterprises.html

https://www.solissecurity.com/en-gb/insights/the-growing-threat-from-remote-access-tools-used-in-ransomware-attacks/

https://attack.mitre.org/techniques/T1219/