Em Alta NotíciasPessoasAcontecimentos internacionaisConflitosPolítica

Converse com o Telinha

Telinha
Oi! Posso responder perguntas apenas com base nesta matéria. O que você quer saber?

Ransomware Qilin passa a explorar logs do Windows para mapear acessos RDP

Ransomware Qilin passa a mapear acessos RDP em logs do Windows (Event ID 1149) para reconhecer alvos internos antes da criptografia

Telinha
Por Revisado por: Time de Jornalismo Portal Tela
Photo
0:00
0:00
  • O grupo de ransomware Qilin, também conhecido como Agenda, passou a usar logs do Windows para mapear acessos RDP e identificar alvos internos com mais rapidez.
  • Os operadores executaram um comando em PowerShell para extrair registros do Event ID 1149 no log Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational.
  • Com isso, eles descobriram quais contas usaram acesso remoto no host e de quais máquinas partiram essas conexões.
  • A técnica evita varreduras de rede barulhentas, ajudando a reconhecer usuários e sistemas valiosos sem depender de ferramentas de enumeração de Active Directory.
  • A defesa recomenda habilitar PowerShell ScriptBlock Logging, monitorar instalações não autorizadas de ferramentas de acesso remoto e acompanhar tentativas de adulteração do Microsoft Defender, pois sinais podem indicar a presença do Qilin antes da criptografia.

O grupo de ransomware Qilin, também conhecido como Agenda, adotou uma tática de reconhecimento em servidores comprometidos. Em vez de varreduras de rede barulhentas, passou a consultar logs do Windows para mapear acessos RDP.

A técnica usa um comando em PowerShell para extrair registros do Event ID 1149 do log Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational. Com isso, identifica quais contas utilizaram acesso remoto e de onde partiram as conexões.

Na prática, a abordagem ajuda a detectar usuários relevantes e sistemas potenciais sem depender de ferramentas tradicionais de enumeração de Active Directory ou de varreduras de rede, que costumam disparar alertas.

Segundo a análise, o método teria sido entregue por meio de uma instalação maliciosa do ScreenConnect durante a intrusão. Esse ponto sinaliza uma infiltração já publicada no ambiente.

O Event ID 1149 nem sempre recebe prioridade de equipes de segurança, o que amplia a janela de reconhecimento silencioso antes da criptografia. Muitas organizações não encaminham esse log ao SIEM nem o analisam com profundidade.

Defesa e medidas

Defesas indicam habilitar o PowerShell ScriptBlock Logging e monitorar instalações não autorizadas de ferramentas de acesso remoto, como ScreenConnect, AnyDesk e Atera. Também é recomendável acompanhar tentativas de adulteração do Microsoft Defender.

Esses sinais podem indicar a presença do Qilin horas antes do início da criptografia, segundo a análise citada. Aposte em monitoramento abrangente de logs e resposta rápida a incidentes para reduzir impactos.

Relacionados:

NotíciasPessoastecnologia

Comentários 0

Entre na conversa da comunidade

Os comentários não representam a opinião do Portal Tela; a responsabilidade é do autor da mensagem. Conecte-se para comentar

Veja Mais

Bairro em Manaus fica parcialmente destruído após incêndio que atingiu 30 casas
Notícias

Bairro em Manaus fica parcialmente destruído após incêndio que atingiu 30 casas

Telinha
Telinha
Deputados estaduais elegem novo governador do Amazonas
Notícias

Deputados estaduais elegem novo governador do Amazonas

Telinha
Telinha
Fóton teletransportado representa avanço para a internet quântica
Ciência

Fóton teletransportado representa avanço para a internet quântica

Telinha
Telinha