{"id":615377,"date":"2026-05-04T08:00:00","date_gmt":"2026-05-04T11:00:00","guid":{"rendered":"https:\/\/www.portaltela.com\/noticias\/2026\/05\/04\/ransomware-qilin-passa-a-explorar-logs-do-windows-para-mapear-acessos-rdp\/"},"modified":"2026-05-04T08:00:00","modified_gmt":"2026-05-04T11:00:00","slug":"ransomware-qilin-passa-a-explorar-logs-do-windows-para-mapear-acessos-rdp","status":"publish","type":"post","link":"https:\/\/www.portaltela.com\/noticias\/geral\/2026\/05\/04\/ransomware-qilin-passa-a-explorar-logs-do-windows-para-mapear-acessos-rdp\/","title":{"rendered":"Ransomware Qilin passa a explorar logs do Windows para mapear acessos RDP"},"content":{"rendered":"<p>O grupo de ransomware Qilin, tamb\u00e9m conhecido como Agenda, adotou uma t\u00e1tica de reconhecimento em servidores comprometidos. Em vez de varreduras de rede barulhentas, passou a consultar logs do Windows para mapear acessos RDP.<\/p>\n<p>A t\u00e9cnica usa um comando em PowerShell para extrair registros do Event ID 1149 do log Microsoft-Windows-TerminalServices-RemoteConnectionManager\/Operational. Com isso, identifica quais contas utilizaram acesso remoto e de onde partiram as conex\u00f5es.<\/p>\n<p>Na pr\u00e1tica, a abordagem ajuda a detectar usu\u00e1rios relevantes e sistemas potenciais sem depender de ferramentas tradicionais de enumera\u00e7\u00e3o de Active Directory ou de varreduras de rede, que costumam disparar alertas.<\/p>\n<p>Segundo a an\u00e1lise, o m\u00e9todo teria sido entregue por meio de uma instala\u00e7\u00e3o maliciosa do ScreenConnect durante a intrus\u00e3o. Esse ponto sinaliza uma infiltra\u00e7\u00e3o j\u00e1 publicada no ambiente.<\/p>\n<p>O Event ID 1149 nem sempre recebe prioridade de equipes de seguran\u00e7a, o que amplia a janela de reconhecimento silencioso antes da criptografia. Muitas organiza\u00e7\u00f5es n\u00e3o encaminham esse log ao SIEM nem o analisam com profundidade.<\/p>\n<h3>Defesa e medidas<\/h3>\n<p>Defesas indicam habilitar o PowerShell ScriptBlock Logging e monitorar instala\u00e7\u00f5es n\u00e3o autorizadas de ferramentas de acesso remoto, como ScreenConnect, AnyDesk e Atera. Tamb\u00e9m \u00e9 recomend\u00e1vel acompanhar tentativas de adultera\u00e7\u00e3o do Microsoft Defender.<\/p>\n<p>Esses sinais podem indicar a presen\u00e7a do Qilin horas antes do in\u00edcio da criptografia, segundo a an\u00e1lise citada. Aposte em monitoramento abrangente de logs e resposta r\u00e1pida a incidentes para reduzir impactos.<\/p>\n","protected":false},"excerpt":{"rendered":"<ul>\n<li>O grupo de ransomware Qilin, tamb\u00e9m conhecido como Agenda, passou a usar logs do Windows para mapear acessos RDP e identificar alvos internos com mais rapidez.<\/li>\n<li>Os operadores executaram um comando em PowerShell para extrair registros do Event ID 1149 no log Microsoft-Windows-TerminalServices-RemoteConnectionManager\/Operational.<\/li>\n<li>Com isso, eles descobriram quais contas usaram acesso remoto no host e de quais m\u00e1quinas partiram essas conex\u00f5es.<\/li>\n<li>A t\u00e9cnica evita varreduras de rede barulhentas, ajudando a reconhecer usu\u00e1rios e sistemas valiosos sem depender de ferramentas de enumera\u00e7\u00e3o de Active Directory.<\/li>\n<li>A defesa recomenda habilitar PowerShell ScriptBlock Logging, monitorar instala\u00e7\u00f5es n\u00e3o autorizadas de ferramentas de acesso remoto e acompanhar tentativas de adultera\u00e7\u00e3o do Microsoft Defender, pois sinais podem indicar a presen\u00e7a do Qilin antes da criptografia.<\/li>\n<\/ul>\n","protected":false},"author":15,"featured_media":615396,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"summary":"Ransomware Qilin passa a mapear acessos RDP em logs do Windows (Event ID 1149) para reconhecer alvos internos antes da criptografia","footnotes":""},"categories":[298,1],"tags":[100,101,189],"class_list":["post-615377","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-geral","category-noticias","tag-noticia","tag-pessoas","tag-tecnologia"],"_links":{"self":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/615377","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/comments?post=615377"}],"version-history":[{"count":0,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/615377\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media\/615396"}],"wp:attachment":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media?parent=615377"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/categories?post=615377"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/tags?post=615377"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}