Acesso Remoto

Com o aumento do trabalho remoto e híbrido, as organizações enfrentam desafios significativos em relação à segurança de acesso a sistemas críticos. O modelo tradicional de Gestão de Acesso Privilegiado (PAM) já não é suficiente, pois se limita a ambientes internos. A Gestão de Acesso Privilegiado Remoto (RPAM) surge como uma solução eficaz, permitindo que administradores, contratados e fornecedores tenham acesso seguro a partir de qualquer local e dispositivo. RPAM aplica controles de acesso rigorosos, verifica identidades e monitora sessões privilegiadas sem expor credenciais ou depender de VPNs. Essa abordagem não apenas melhora a segurança, mas também atende às exigências de conformidade, automatizando o registro de sessões e criando trilhas de auditoria detalhadas. A adoção de RPAM está crescendo rapidamente devido à necessidade de controles de acesso robustos em um cenário de trabalho remoto, à vulnerabilidade de métodos tradicionais de acesso remoto e à pressão para atender a regulamentações como a ISO 27001 e HIPAA. O futuro da gestão de acesso privilegiado está na integração de soluções RPAM, que oferecem controle nativo em nuvem e suporte a arquiteturas de segurança de confiança zero, essenciais para proteger contas privilegiadas em ambientes modernos.

O relatório da FortiGuard sobre a primeira metade de 2025 revela que ataques cibernéticos motivados financeiramente dominaram os padrões de incidentes, destacando o uso abusivo de credenciais legítimas e ferramentas de gerenciamento remoto. Os atacantes estão optando por métodos de intrusão discretos e de baixa complexidade, utilizando logins válidos e canais de acesso remoto para se misturar às operações normais das empresas. O relatório também aponta que, embora ataques cibernéticos habilitados por IA chamem atenção, há pouca evidência de seu uso operacional eficaz. As violações baseadas em credenciais e o uso indevido de acesso remoto continuam sendo os principais vetores de acesso inicial. As técnicas de acesso inicial mais comuns incluem credenciais comprometidas e exploração de serviços VPN expostos. Após a intrusão, os atacantes utilizam ferramentas legítimas como AnyDesk e Splashtop para manter a persistência e exfiltrar dados. A Fortinet recomenda que as defesas se concentrem em detecções baseadas em identidade e comportamento, além de implementar controles de segurança como autenticação multifator (MFA) e políticas de acesso condicional. O alerta é claro: os atacantes não precisam mais hackear para entrar, eles simplesmente fazem login.

O Atroposia é um novo trojan de acesso remoto (RAT) que vem ganhando popularidade em fóruns underground, sendo oferecido como um kit de ferramentas de cibercrime acessível e modular. Com um custo de aproximadamente R$ 1.000 por seis meses, ele é projetado para atacantes com pouca ou nenhuma habilidade técnica. Entre suas funcionalidades, destaca-se o HRDP Connect, que permite acesso remoto invisível ao desktop da vítima, possibilitando que os atacantes interajam com o sistema sem serem detectados. Além disso, o Atroposia inclui um módulo de escaneamento de vulnerabilidades, que identifica falhas em sistemas comprometidos, e mecanismos robustos de persistência que garantem a continuidade do acesso mesmo após reinicializações. Outro recurso preocupante é a captura do conteúdo da área de transferência, que pode extrair informações sensíveis em tempo real. O uso de técnicas como o sequestro de DNS para redirecionar tráfego também é uma ameaça significativa, permitindo ataques de phishing e comprometimento de redes. A Varonis alerta que a evolução de ferramentas como o Atroposia representa um desafio crescente para a segurança cibernética, exigindo que as empresas adotem análises comportamentais avançadas para detectar atividades suspeitas.

Grupos de ransomware têm utilizado ferramentas de acesso remoto (RATs) legítimas, como AnyDesk e UltraViewer, para estabelecer pontos de acesso furtivos e evitar detecções. Ao abusar de versões gratuitas ou empresariais dessas ferramentas, os atacantes conseguem contornar controles de segurança tradicionais, aproveitando assinaturas digitais confiáveis e canais criptografados para manter a persistência e movimentar-se lateralmente na rede.

Após o acesso inicial, geralmente por meio de força bruta em RDP ou reutilização de credenciais, os operadores exploram serviços RAT pré-instalados. Técnicas como ‘sequestro’ de serviços e instalação silenciosa são comuns, permitindo que os atacantes evitem alertas de segurança. Uma vez que os serviços RAT estão ativos, eles escalam privilégios e manipulam políticas de segurança do Windows para excluir diretórios RAT de varreduras de antivírus.

Uma campanha sofisticada de malware sem arquivo foi descoberta, utilizando o AsyncRAT, um poderoso Trojan de Acesso Remoto. Pesquisadores da LevelBlue detalharam a metodologia do ataque, que começa com um cliente ScreenConnect comprometido, um software legítimo de acesso remoto. Os atacantes estabelecem uma sessão interativa através de um domínio malicioso, executando um arquivo VBScript que aciona comandos PowerShell para baixar dois payloads externos.

Os payloads são carregados diretamente na memória, sem deixar vestígios em disco, utilizando técnicas de reflexão. A primeira etapa do malware, Obfuscator.dll, é responsável por inicialização, persistência e técnicas de evasão. A persistência é alcançada através de uma tarefa agendada disfarçada de “Skype Updater”. O segundo componente, AsyncClient.exe, implementa funcionalidades de comando e controle, realizando reconhecimento do sistema e coletando informações sensíveis, como dados de carteiras de criptomoedas. O uso de técnicas avançadas de evasão e a execução apenas em memória tornam o AsyncRAT uma ameaça significativa para a segurança cibernética, destacando a necessidade de soluções de segurança mais robustas.