Grupos de cibercriminosos estão abandonando progressivamente o desenvolvimento de malware personalizado em favor do abuso de ferramentas legítimas de Remote Monitoring and Management (RMM). Esta tendência, que vem se acelerando, oferece aos atacantes stealth, persistência e eficiência operacional, representando um caminho de menor resistência para comprometer redes corporativas.
A vantagem do "living-off-the-land"
Softwares RMM, como AnyDesk, TeamViewer, Splashtop e ConnectWise Control, são ferramentas legítimas e amplamente utilizadas por equipes de TI para gerenciamento remoto de sistemas. Ao abusar dessas aplicações já instaladas ou enganar usuários para instalá-las, os atacantes contornam muitas soluções de segurança baseadas em assinatura de malware. Suas atividades se misturam ao tráfego normal de administração, dificultando a detecção.
Vetores de ataque e persistência
Os invasores geralmente iniciam o acesso através de phishing ou comprometimento de credenciais. Em seguida, utilizam esse acesso inicial para instalar ou manipular um cliente RMM, garantindo um ponto de entrada persistente e de alto privilégio na rede. Uma vez estabelecido, o software RMM é usado para movimentação lateral, coleta de dados e implantação de cargas úteis secundárias, como ransomware.
Impacto e desafios para a defesa
Esta mudança tática força uma reavaliação das estratégias de segurança. A detecção agora deve focar em comportamentos anômalos no uso de ferramentas legítimas, como conexões RMM originadas de endereços IP não corporativos ou em horários incomuns. A segmentação de rede rigorosa, a aplicação do princípio do menor privilégio e o monitoramento contínuo do tráfego de saída para domínios de ferramentas RMM tornam-se defesas críticas.
Recomendações para organizações
Empresas devem inventariar e controlar estritamente o uso de softwares RMM, permitindo apenas soluções aprovadas e de fornecedores conhecidos. A implementação de políticas de lista de permissões (allowlisting) de aplicações pode impedir a instalação de ferramentas RMM não autorizadas. Além disso, o treinamento de conscientização deve alertar os funcionários sobre táticas de engenharia social que os levam a instalar essas ferramentas sob falsos pretextos de suporte técnico.