.png)
há 2 dias
2
ANUNCIE AQUI
Gangues de ransomware estão abusando de ferramentas legítimas de acesso remoto, como AnyDesk e Splashtop, para ganhar persistência nas redes corporativas e evitar detecções. Em vez de depender apenas de binários maliciosos, os atacantes vêm sequestrando ou instalando silenciosamente utilitários assinados e confiáveis, o que lhes permite mover-se lateralmente e operar sob a aparente normalidade das operações de TI.
Leia também
Phishing usa nome de varejista famoso em 332 domínios
Espionagem diplomática via Exchange dura anos
A tática inclui roubo de credenciais por phishing e credential stuffing, seguida da implantação de ferramentas remotas por meio de parâmetros de instalação silenciosa ou da modificação de configurações existentes para conceder acesso desatendido. Esses métodos deixam pouca evidência em disco e conseguem contornar soluções tradicionais baseadas em assinaturas, dificultando a detecção e a resposta.
Uma vez instaladas, as ferramentas são usadas para recon, exfiltração e implantação de cargas como ransomware. Em incidentes recentes atribuídos a operadores como LockBit e Black Basta, os invasores combinaram abuso de RATs com comandos de destruição de arquivos e alteração de credenciais, maximizando tempo de permanência e impacto financeiro nas vítimas.
Para mitigar esse vetor, organizações devem aplicar políticas rígidas de controle de aplicações, monitorar o uso de parâmetros de instalação e argumentos de linha de comando associados a ferramentas remotas, reforçar autenticação multifator e limitar o uso de utilitários de administração apenas a contas e hosts aprovados. A detecção baseada em comportamento e a revisão de configurações existentes são essenciais para interromper essas cadeias de persistência.
Portuguese (BR) ·