85% dos ataques utilizam o RDP para movimentação lateral
O ransomware está a evoluir para modelos de extorsão de dados mais rápidos e direcionados, em que a encriptação já não é o principal objetivo. De acordo com as previsões de cibersegurança da WatchGuard para 2026, o crypto-ransomware perderá terreno para modelos assentes na exfiltração de dados e na pressão reputacional, reduzindo a barreira técnica para os agentes maliciosos, mas aumentando a velocidade dos ataques.
Esta mudança tem uma consequência direta: o foco do ataque deixou de estar na intrusão inicial e passou para a movimentação lateral dentro da rede. Neste contexto, ferramentas internas de confiança, como o Remote Desktop Protocol (RDP), tornaram-se uma das táticas mais eficazes para a movimentação lateral.
Dados da Google Threat Intelligence (GTIG) mostram que o RDP está presente em 85% destes ataques, evidenciando uma tendência clara: os atacantes estão a abandonar malware complexo em favor da estratégia conhecida como living off the land, utilizando ferramentas legítimas para permanecerem invisíveis.
Já não se trata apenas de perceber como os atacantes entram; trata-se de compreender o que fazem depois de estarem dentro da organização.
RDP: o vetor de ameaça silencioso
O RDP é uma ferramenta fiável, amplamente utilizada por administradores de sistemas e fornecedores de serviços geridos (MSP) para a gestão remota de dispositivos. É precisamente por isso que se tornou um dos vetores de ataque preferidos dos cibercriminosos: permite-lhes misturarem-se com o tráfego legítimo do dia a dia, passando frequentemente despercebidos durante longos períodos, enquanto causam danos significativos.
Os cibercriminosos exploram o RDP para:
- Escalar privilégios através de credenciais comprometidas;
- Mover-se entre sistemas sem serem detetados;
- Preparar o terreno para o roubo de dados ou para o lançamento de ataques sem desencadear alertas evidentes.
Para os MSP, o desafio é ainda maior. É necessário distinguir sessões legítimas de intenções maliciosas em múltiplos ambientes, muitos dos quais utilizam o RDP como parte integrante das operações diárias.
O verdadeiro desafio: identificar o perigo no meio da normalidade
Para os MSP que gerem inúmeros endpoints e clientes, a maioria das ações diárias parece rotineira: acessos remotos, transferências de dados e alterações de configuração. É precisamente esta aparência de normalidade que os cibercriminosos procuram explorar — e que torna a deteção mais difícil. Se conseguirem ocultar-se dentro de processos legítimos, podem deslocar-se pelas redes sem serem detetados e provocar danos significativos.
Isto cria um novo desafio: separar sessões legítimas de comportamentos não autorizados num contexto em que ambos parecem praticamente idênticos. Esta tarefa pode ser particularmente exigente para MSP já sobrecarregados com alertas, o que limita a eficiência operacional e atrasa os tempos de resposta.
Resolver este problema exige uma estratégia mais estruturada, centrada em:
- Monitorização contínua dos endpoints, com deteção comportamental de ameaças e visibilidade clara dos incidentes;
- Correlação de eventos, transformando dados isolados em alertas acionáveis;
- Priorização de incidentes com base no risco real, permitindo às equipas concentrarem-se no que é mais importante.
Ao adotar este modelo, as equipas conseguem identificar anomalias escondidas por detrás de atividades aparentemente normais, reduzir o ruído e melhorar significativamente a capacidade de resposta.
Como detetar e travar a movimentação lateral na prática
As soluções de EDR (Endpoint Detection and Response) alimentadas por inteligência artificial enfrentam este desafio ao consolidarem prevenção, deteção e resposta numa única plataforma. No entanto, o verdadeiro fator diferenciador não está apenas na deteção de ameaças, mas na visibilidade contínua e no contexto comportamental que proporcionam aos MSP, permitindo-lhes proteger melhor os seus clientes e expandir o negócio de forma sustentável.
Na prática, isto traduz-se em:
- Visibilidade abrangente dos endpoints, reunindo telemetria de processos, ligações e utilizadores, bem como análise da causa raiz para compreender a origem e o alcance das ameaças;
- Deteção de movimentação lateral, identificando acessos RDP invulgares, manipulação de credenciais e padrões suspeitos de ligação, com mapeamento dos alertas para o framework MITRE ATT&CK;
- Correlação automática de incidentes, ligando múltiplos eventos para reconstruir toda a sequência de um ataque, ajudando as equipas a concentrarem esforços e reduzindo a fadiga causada pelos alertas;
- Isolamento e resposta nos endpoints, colocando dispositivos em quarentena e encerrando processos suspeitos, com análise e mitigação realizadas através de acesso remoto ou ferramentas de linha de comandos remotas;
- Consolas multi-tenant para maior eficiência operacional, permitindo aos MSP gerir mais clientes sem aumentar a complexidade ou os custos operacionais.
Visibilidade e contexto: a nova linha da frente da defesa
Não é por acaso que 85% dos ciberataques recorrem ao RDP. Este dado recorda-nos a forma como os cibercriminosos operam atualmente: utilizando ferramentas de confiança para permanecerem invisíveis. Quanto mais um ataque se assemelha à atividade normal de uma organização, mais difícil é detetá-lo — e maior é a probabilidade de sucesso.
É aqui que reside o verdadeiro desafio para os MSP. A segurança dos endpoints já não se resume à prevenção; exige visibilidade clara, contexto comportamental para deteções mais rápidas e precisas e capacidade de resposta imediata.
A adoção deste modelo não só neutraliza a movimentação lateral, como também permite construir operações de segurança mais eficientes, escaláveis e resilientes face às ameaças em constante evolução.
Para saber mais: