Grupos de Ransomware Explorando Ferramentas de Acesso Remoto

BR Defense Center (By River de Morais e Silva)
ransomware

Grupos de ransomware têm utilizado ferramentas de acesso remoto (RATs) legítimas, como AnyDesk e UltraViewer, para estabelecer pontos de acesso furtivos e evitar detecções. Ao abusar de versões gratuitas ou empresariais dessas ferramentas, os atacantes conseguem contornar controles de segurança tradicionais, aproveitando assinaturas digitais confiáveis e canais criptografados para manter a persistência e movimentar-se lateralmente na rede.

Após o acesso inicial, geralmente por meio de força bruta em RDP ou reutilização de credenciais, os operadores exploram serviços RAT pré-instalados. Técnicas como ‘sequestro’ de serviços e instalação silenciosa são comuns, permitindo que os atacantes evitem alertas de segurança. Uma vez que os serviços RAT estão ativos, eles escalam privilégios e manipulam políticas de segurança do Windows para excluir diretórios RAT de varreduras de antivírus.

Na fase final, os payloads de ransomware, como LockBit e Black Basta, são transferidos e executados através dos canais RAT ativos, criptografando arquivos críticos e bloqueando o acesso de administradores. Para mitigar esses ataques, é essencial implementar autenticação multifator e monitorar continuamente atividades suspeitas, além de restringir a instalação de RATs e realizar uma gestão rigorosa de patches.

Fonte: https://cyberpress.org/ransomware-gangs/

⚠️
BR DEFENSE CENTER: SECURITY BRIEFING
07/10/2025 • Risco: ALTO
RANSOMWARE

Grupos de Ransomware Explorando Ferramentas de Acesso Remoto

RESUMO EXECUTIVO
O uso de RATs legítimos por grupos de ransomware representa uma ameaça crescente. As organizações devem estar cientes das técnicas de evasão e implementar medidas de segurança robustas para proteger seus dados e sistemas.

💼 IMPACTO DE NEGÓCIO

Financeiro
Possíveis perdas financeiras significativas devido à criptografia de dados e interrupção de serviços.
Operacional
Criptografia de arquivos críticos e bloqueio de administradores.
Setores vulneráveis
['Setores de tecnologia, finanças e saúde que utilizam RATs.']

📊 INDICADORES CHAVE

Aumento no uso de RATs legítimos por grupos de ransomware. Indicador
Exemplos de ransomware como LockBit e Black Basta em uso. Contexto BR
Técnicas de instalação silenciosa que evitam detecções. Urgência

⚡ AÇÕES IMEDIATAS

1 Verificar a presença de RATs não autorizados e revisar logs de acesso remoto.
2 Implementar autenticação multifator para todos os serviços de acesso remoto.
3 Monitorar continuamente atividades suspeitas relacionadas a acessos remotos e alterações em políticas de segurança.

🇧🇷 RELEVÂNCIA BRASIL

CISOs devem se preocupar com a crescente utilização de ferramentas legítimas para atividades maliciosas, o que pode comprometer a segurança da informação e a integridade dos dados.

⚖️ COMPLIANCE

Implicações legais e de compliance com a LGPD em caso de vazamentos de dados.
Status
ativo
Verificação
alta
BR Defense Center

Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).