Gangues de ransomware estão abusando de ferramentas legítimas de acesso remoto, como AnyDesk e Splashtop, para ganhar persistência nas redes corporativas e evitar detecções. Em vez de depender apenas de binários maliciosos, os atacantes vêm sequestrando ou instalando silenciosamente contratos negociados e confiáveis, o que lhes permite mover-se lateralmente e operar sob a aparente normalidade das operações de TI.
Leia também
Phishing usa nome de varejista famoso em 332 domínios
Espionagem diplomática via Exchange dura anos
UM tática inclui roubo de credenciais por phishing e preenchimento de credenciais, seguido da implantação de ferramentas remotas por meio de configurações de instalação silenciosa ou da modificação de configurações existentes para conceder acesso desatendido. Esses métodos deixam pouca evidência em disco e evitam soluções tradicionais em assinaturas, dificultando a detecção e a resposta.
Uma vez instaladas, as ferramentas são usadas para reconhecimento, exfiltração e implantação de cargas como ransomware. Em incidentes recentes atribuídos a operadores como LockBit e Black Basta, os invasores combinaram abuso de RATs com comandos de destruição de arquivos e alteração de credenciais, maximizando o tempo de permanência e impacto financeiro nas vítimas.
Para mitigar esse vetor, as organizações devem aplicar políticas de controle de aplicações, monitorar o uso de parâmetros de instalação e argumentos de linha de comando associados às ferramentas remotas, reforçar a autenticação multifator e limitar o uso de instrumentos de administração apenas a contas e anfitriões aprovados. A detecção baseada no comportamento e a revisão de configurações existentes são essenciais para interromper essas cadeias de persistência.
