Ransomware prin RDP pe Windows 11 actualizat? Da, se poate.

Când auzim „Windows 11 la zi”, tindem să credem că suntem în siguranță. Patch-uri instalate, antivirus activ, totul pare în regulă. Și totuși, într-o dimineață, toate fișierele au extensii ciudate, iar pe desktop apare un fișier README care începe cu „YOUR FILES HAVE BEEN ENCRYPTED!”.

Cum e posibil?

Problema nu a fost Windows. A fost RDP-ul.

În majoritatea cazurilor recente de ransomware, atacatorii nu exploatează o vulnerabilitate zero-day. Nu sparg sistemul prin magie. Intră pe ușa lăsată deschisă: Remote Desktop Protocol (RDP) expus direct în internet.

Dacă portul 3389 este deschis public și:

• parola nu este foarte puternică,

• este reutilizată din alte servicii,

• nu există politici de blocare după încercări repetate,

• nu există MFA,

atunci este doar o chestiune de timp până când un bot automatizat va nimeri combinația corectă.

Internetul este scanat non-stop pentru RDP expus. Nu este o presupunere. Este realitatea zilnică.

Cum decurge un atac tipic prin RDP

1. Atacatorii detectează portul 3389 deschis.

2. Rulează brute-force sau credential stuffing.

3. Obțin acces valid.

4. Dezactivează antivirusul sau îl ocolesc.

5. Instalează tool-uri auxiliare.

6. Rulează ransomware-ul manual.

În multe situații, atacatorii au acces ore sau chiar zile înainte să declanșeze criptarea. Pot face recunoaștere, pot crea conturi noi, pot exfiltra date.

Nu este un „virus” clasic. Este acces remote autentic.

„Dar era Windows 11 actualizat…”

Actualizările protejează împotriva vulnerabilităților software, nu împotriva parolelor slabe sau a expunerii directe în internet.

Un sistem perfect patch-uit, dar cu RDP expus public și parolă slabă, este vulnerabil.

E ca și cum ai avea o ușă blindată, dar cheia sub preș.

Ce am învățat din astfel de incidente

Într-un caz recent, mașina afectată era actualizată, protejată, fără semne evidente de neglijență. Totuși:

• RDP era expus direct.

• Nu exista MFA.

• Nu exista restricție pe IP.

• Parola fusese reutilizată.

Rezultatul: fișiere criptate, extensii random, notă de răscumpărare, timp pierdut și stres.

Din fericire, backup-ul a salvat situația.

Și aici este partea importantă.

Backup-ul nu este opțional

Dacă există un singur lucru care face diferența între „criză majoră” și „incident gestionabil”, acela este backup-ul corect.

Backup corect înseamnă:

• copie automată zilnică,

• stocare separată de sistemul principal,

• versiuni multiple,

• testare periodică de restore.

Fără asta, ransomware-ul devine negociere.

Cu backup, devine doar timp de restaurare.

Ce trebuie făcut pentru a preveni repetarea

1. Nu expune niciodată RDP direct în internet.

2. Folosește VPN cu autentificare multi-factor.

3. Activează politici de blocare după încercări eșuate.

4. Folosește parole lungi (minimum 14–16 caractere).

5. Dezactivează sau securizează contul Administrator.

6. Monitorizează logurile de autentificare.

RDP este o unealtă excelentă. Dar trebuie tratat ca un instrument profesional, nu ca un shortcut comod.

Realitatea dură

Ransomware-ul nu mai este ceva ce „li se întâmplă altora”. Este un business global automatizat.

Nu contează cât de mică este firma.
Nu contează dacă „nu avem ce să fure”.
Nu contează dacă „suntem doar câțiva angajați”.

Contează doar dacă sistemele sunt expuse și dacă parolele pot fi ghicite.

Concluzie

Un sistem actualizat nu înseamnă un sistem securizat.
Un antivirus activ nu înseamnă imunitate.
Un RDP deschis public este un risc real.

Protecția reală înseamnă:

• arhitectură corectă,

• politici clare,

• backup verificat,

• și o configurare făcută profesionist.