Pesquisa da equipe de inteligência de ameaças da Palo Alto Networks aponta que dois em cada três ataques envolvem credenciais comprometidas
As senhas são as clássicas necessidades do ambiente virtual e, quando combinadas com nomes de usuários, formam as credenciais. Quase toda atividade online exige a criação de credenciais, seja para contas de e-mail, contas bancárias, acesso a redes corporativas, redes sociais, jogos, serviços de streaming, ou qualquer registro online.
Na teoria, cada uma dessas contas deveria ter uma senha única e forte, alterada regularmente, armazenada e forma protegida dos cibercriminsos.
Na prática é bem diferente. A Unit 42, equipe de inteligência de ameaças da Palo Alto Networks lançou a pesquisa “Roubo de credenciais: o oxigênio de ataques bem-sucedidos”, que explica como o roubo de credenciais é um fator fundamental para muitos ataques bem-sucedidos. Na pesquisa é possível compreender como o roubo acontece, variedades de ataques e o que fazer para se prevenir.
Uma credencial legítima é a porta de entrada de cada conta e organização, independentemente se o dono da credencial ou quem a roubou esteja usando. Portanto, não é de estranhar que o Relatório da Verizon de 2014, o DBIR (sigla em inglês para Data Breach Investigations Report), aponte que dois a cada três ataques envolvem credenciais comprometidas.
Esse relatório também revela que 63% das violações de dados foram realizadas com roubo de – que é a abordagem mais comum em ataques de web-app. As credenciais são o oxigênio da atividade maliciosa: elas estão sempre lá, necessárias, mas quase nunca recebem a atenção merecida. Os cibercriminosos desenvolvem suas estratégias mirando o roubo dessas credenciais como um alvo ou como um meio para obter acesso a uma rede em todas as fases do ciclo de vida do ataque.
O roubo pode ocorrer de várias formas, incluindo phishing, malware distribuídos com spam, engenharia social, reutilização de senha e de segurança e falta de tecnologia adequada de cibersegurança. Vale lembrar que o phishing de credenciais é particularmente notável e é uma tática usada pelo Sofacy, grupo de cibercrime que a Unit 42 rastreia.
Já em posse das credenciais, eles podem utilizá-las para acessar redes remotamente, recursos da nuvem ou realizar movimentos laterais, um passo importante na estratégia em ataques e violações de dados. Os recursos da nuvem enfrentam desafios particulares de cibersegurança, já que empresas com proteções potentes de credenciais em suas redes podem não ter o mesmo cuidado na nuvem.
Um exemplo recente e notório de roubo de credenciais foi o Shamoon 2, campanha investigada pela Unit 42 e que causou três grandes ondas de ataques na Arábia Saudita, utilizando uma combinação de ferramentas legítimas e scripts para promover reconhecimento de rede, roubo de credenciais e entregar um trojan de capacidade altamente destrutiva, o Disttrack.
A campanha Shamoon começou a receber atenção no início de 2016 e segue crescendo e preocupando as equipes de segurança. Se o roubo de credenciais é o oxigênio dos ataques, então impedi-lo pode cortar esse oxigênio e prevenir ciberataques. As principais abordagens para prevenir o roubo de credenciais são Dupla Autenticação ou Autenticação Multi-Fator (2FA / MFA), OTP (sigla em inglês para One-Time Passwords) – senhas válidas para único acesso ou transação, gerenciadores de senha e orientação do usuário.
Além disso, é fundamental buscar uma plataforma de cibersegurança potente e atualizada, capaz de interromper o envio de credenciais corporativas com senhas em sites desconhecidos, bloquear o acesso a sites de phishing conhecidos com filtro de URL e proteger aplicações críticas. Vale lembrar que o roubo de credenciais não requer alto nível de habilidade técnica.
Os agentes maliciosos podem alugar as ferramentas necessárias como keyloggers e trojans em fóruns ou até mesmo comprar credenciais já roubadas – em muitos casos verificadas e ativas. Então, redobre a atenção com suas credenciais, oriente os usuários da sua rede e garanta a proteção necessária para bloquear de vez a porta que bombeia o oxigênio para os cibercriminosos.
(*) Arthur Capella é gerente geral da Palo Alto Networks no Brasil
