Embora o software de monitorização e gestão ajude os administradores de sistemas informáticos a executar as suas tarefas diárias, os cibercriminosos podem aproveitar-se das ferramentas usadas para atacar a infraestrutura de uma empresa. Os mais recentes dados da Kaspersky revelam que, em 2019, 30% dos ciberataques analisados envolveram software legítimo de gestão e administração remota.

O relatório detalha que, ao todo, 18 ferramentas legítimas foram utilizadas por cibercriminosos para fins maliciosos. A mais utilizada foi a PowerShell da Microsoft, totalizando 25% dos casos. Esta poderosa ferramenta de gestão pode ser utilizada para muitos fins, desde a recolha de informação até ao desenvolvimento de malware.

Já a PsExec, a aplicação da Microsoft que se destina ao lançamento de processos em endpoints, foi utilizada em 22% dos ataques. O SoftPerfect Network Scanner, que se destina a recuperar informações sobre ambientes de rede, ocupa o terceiro lugar do “pódio”, com 14% dos ataques.

Ao usar software desenvolvido para a atividade normal do utilizador, tarefas de administrador e diagnósticos do sistema, os atacantes permanecerem “invisíveis” numa rede comprometida, durante o máximo de tempo possível, elucida Konstantin Sapronov, Head of Global Emergency Response Team da Kaspersky. Com as ferramentas, os cibercriminosos podem recolher informações sobre redes empresariais e depois realizar ações maliciosas, incluindo a encriptação de dados de clientes.

Os investigadores explicam que nem sempre é fácil para as soluções de segurança detetar ataques conduzidos com ferramentas legítimas e as ações realizadas podem tanto fazer parte de uma tarefa regular do administrador de sistemas ou então de um ciberataque. Em muitos dos casos, os analistas de segurança só conseguem detetar os ataques depois de o dano ter sido feito.

A Kaspersky indica que os ataques contínuos de ciberespionagem e roubo de dados confidenciais analisados tiveram uma duração média de 122 dias e, como não foram detetados, os atacantes conseguiram recolher dados sensíveis das vítimas. Contudo, há formas de perceber quando são realizadas ações maliciosas com software legítimo, em especial, em casos de ataque de ransomware.

Para minimizar as hipóteses de um software de gestão remoto ser utilizado para invadir umainfraestrutura, a Kaspersky recomenda algumas medidas. Entre elas está a restrição do acesso a ferramentas de gestão remota a partir de endereços IP externos, a aplicação de uma política rigorosa de palavras-passe para todos os sistemas de IT e a implementação da autenticação multi-fator.

Além disso, é importante assegurar que as interfaces de controlo remoto só podem ser acedidas a partir de um número limitado de endpoints e apenas dar privilégios limitados aos colaboradores e conceder contas altamente privilegiadas apenas aos que necessitam delas para desempenhar as suas funções.