Ferramentas de Monitoramento e Gerenciamento Remoto (RMM) são a espinha dorsal das operações de TI modernas. Profissionais de segurança dependem delas diariamente para corrigir sistemas, solucionar problemas e gerenciar redes inteiras de qualquer lugar. Essas ferramentas oferecem velocidade, controle e conveniência — qualidades que toda equipe de TI valoriza. Mas as mesmas características que as tornam indispensáveis também as tornaram um alvo principal para cibercriminosos. O que antes era uma vantagem de TI tornou-se silenciosamente um dos pontos de entrada mais perigosos no cenário de ameaças atual.
A escala do problema
A escala do problema é difícil de ignorar. O Relatório de Ameaças Cibernéticas Huntress 2026 registrou um aumento impressionante de 277% no abuso de RMM em 2025. Os atacantes não estão mais apenas lançando ataques de malware externos ou tentando contornar firewalls. Em vez disso, eles voltam ferramentas confiáveis contra as próprias organizações que dependem delas. Ao explorar software legítimo de gerenciamento remoto pré-instalado, eles ganham acesso "hands-on-keyboard" (HOK) a ambientes de vítimas sem levantar uma bandeira vermelha imediata.
Analistas da Huntress identificaram um padrão crítico que impulsiona essa tendência: binários RMM válidos não parecem maliciosos para a maioria dos produtos de segurança. Ferramentas padrão detectam assinaturas conhecidas como ransomware ou trojans de acesso remoto (RATs), mas um executável RMM legítimo simplesmente não se encaixa nesse perfil, então ele passa despercebido enquanto parece ser uma atividade de TI de rotina. Pesquisadores da Huntress observaram que mais de 50% dos casos envolvendo atividade suspeita do RMM Atera estavam diretamente ligados a ataques de ransomware.
Como os atacantes exploram o acesso RMM
Essa ameaça escala mais rápido do que a maioria dos defensores espera. Uma vez que um atacante compromete uma ferramenta RMM, ele herda tudo o que ela foi construída para fazer — automatizar tarefas, executar comandos, mover-se pela rede e implantar ransomware. De acordo com o Relatório de Ameaças Cibernéticas Huntress 2026, quando ferramentas como RustDesk ou Atera são abusadas, os danos do ransomware podem se desdobrar em apenas uma a duas horas. O atacante se mistura, parecendo ser um administrador confiável enquanto silenciosamente desmonta as defesas de dentro.
O acesso inicial quase sempre começa com pessoas. Phishing e engenharia social permanecem os pontos de entrada mais comuns, com atacantes criando e-mails convincentes, como solicitações de assinatura eletrônica, alertas de fatura ou links de compartilhamento de arquivos. A vítima clica, acreditando que está abrindo um documento de rotina, mas na verdade está instalando um agente RMM conectado diretamente ao atacante. No momento em que esse agente é instalado, o acesso interativo ao vivo é estabelecido.
Recomendações para defesa
Uma vez dentro, os atacantes dependem fortemente da confiança que as organizações depositam em ferramentas aprovadas. A maioria das equipes de TI assume que, se uma ferramenta está na lista de permissões, toda sessão executada através dela é segura — e é exatamente nisso que os atacantes contam. Em um caso documentado pelo SOC da Huntress, um ator de ameaça usou credenciais RMM roubadas para acessar o ambiente de um provedor de serviços gerenciados (MSP), executou comandos de enumeração e tentou desabilitar o agente Huntress para evitar detecção.
Em cenários de cadeia de suprimentos, as apostas se multiplicam rapidamente. Uma conta de MSP comprometida pode se propagar para dezenas de organizações afetadas de uma só vez. Os defensores devem parar de confiar na presença da ferramenta e começar a verificar o comportamento — sabendo quais usuários se conectam, em que horários e de quais locais. Qualquer sessão que fique fora dessa linha de base estabelecida merece uma análise mais detalhada, mesmo quando a ferramenta que a executa carrega um nome confiável.
As organizações devem manter um inventário detalhado de todas as ferramentas RMM aprovadas, incluindo hashes executáveis e endpoints de conexão permitidos, para que binários desconhecidos ou conexões com servidores desconhecidos acionem alertas imediatos. O treinamento regular de conscientização sobre segurança ajuda os funcionários a reconhecer iscas de phishing antes que um agente RMM malicioso seja instalado em uma máquina. Construir uma cultura de trabalho onde relatar atividades incomuns é incentivado pode fechar a lacuna entre infecção e detecção mais rápido do que qualquer tecnologia de segurança isolada.