Backoff e Citadel: ataques de acesso remoto em pauta novamente

Acontecimentos recentes chamaram atenção para os programas de acesso remoto no mundo corporativo. No final de julho, a Trusteer, base de segurança da IBM em Boston, informou que uma nova variante do Citadel – que há tempos conta com a VNC (Virtual Network Connection) para dar aos hackers acesso remoto a sistemas – começa a adicionar novos mecanismos de invasão habilitando-os a utilizar o aplicativo padrão do RDP (Remote Desktop Protocol) do Windows. Isso permite que o malware mantenha controle do sistema mesmo depois que o Citadel tenha sido removido. O relatório indica que usar o RDP permite que o malware não seja detectado pelo antivírus, já que ele é comumente usado por administradores e dificilmente é tratado como uma ameaça.

Na mesma semana, o US-CERT, órgão de segurança de redes do governo dos Estados Unidos, divulgou o alerta TA14-212A contra o Backoff, um novo tipo de malware que tem como alvo pontos de vendas (PDVs), que descreve como agentes mal-intencionados usam ferramentas disponíveis publicamente para identificar as organizações que usam aplicativos de acesso remoto de forma insegura. Este reconhecimento foi usado em ataques a informações para o acesso não autorizado, além da instalação da ameaça e extração posterior de dados de pagamento do consumidor.

Como acontece com qualquer ferramenta, aplicativos de acesso remoto podem ser usados para o bem ou mal. Seria inviável para um administrador de outra cidade ou país viajasse até o escritório físico para fazer uma mudança em um sistema, mas fica a crítica de que as organizações precisam assumir o controle sobre esses ambientes. O primeiro passo é identificá-los em sua rede. Por isso, a importância de poder contar com um recurso de segurança que acompanhe os diferentes meios de acesso remoto do Applipedia. Exemplos incluem o RDP, Virtual Network Connection (VNC), TeamViewer, e mesmo Secure Shell (SSH).

Uma vez que você pode identificar o tráfego, é preciso separar o que é bom do que é ruim. Se a sua empresa executa o Windows e se baseia em RDP, você pode fechar o VNC, TeamViewer e os outros 87 aplicativos, porque você não precisa deles. Se os seus administradores e o helpdesk são os únicos que precisam de acesso RDP aos seus sistemas, desative o RDP para o resto dos colaboradores. É preciso definir a política de uso desses aplicativos para proteger os dados da corporação.

Como a falta de controle do acesso remoto pode ampliar a superfície de ataque e atuar como uma porta para invasores, como o Backoff e o Citadel, estes tipos de invasões não são problemas novos, porém é fundamental enfatizar a importância de continuar a controlar este perfil de ameaça que vem crescendo desde 2009 e que – cinco anos depois –  continua a ser uma grande preocupação às organizações.

* Arthur Capella é gerente geral da Palo Alto Networks no Brasil

• segurança