Password Spraying: o que fazer e como prevenir

Password

Quando se trata de invasão com o uso de senhas, a maioria das organizações está bastante familiarizada com ataques de força bruta, em que os cibercriminosos continuamente tentam “adivinhar” senhas por meio de algoritmos de computador dezenas de milhares de vezes em segundos até encontrar o correto.  

No entanto, a pulverização de senha [ou password sptraying, na sigla em inglês] está surgindo agora como uma alternativa aos ataques de força bruta, passando por cima da proteção contra ataques de força bruta – largamente utilizados pela indústria hoje.  

Com o password spraying, os hackers pegam senhas comuns e pouco complexas, e as “espalham”, esperando que um único usuário esteja usando algo como “abc123”, “senha” ou qualquer uma das senhas mais utilizadas e que estão disponíveis publicamente.  

Neste artigo, explicaremos os fundamentos da difusão de senha, como ocorre um ataque com esta técnica, e o que você pode fazer para se proteger. 

O que é password spraying? 

O password spraying difere dos ataques de força bruta porque adota uma abordagem de volume, em vez de visar usuários, dispositivos ou contas específicos. O invasor geralmente começa com uma senha comum que ele espera que apenas um usuário da organização esteja usando. Se a primeira tentativa não for bem-sucedida, o hacker mudará para outra senha e realizará outro esforço de pulverização de senhas. 

Como os hackers não estão tentando fazer login nas contas várias vezes repetidamente em um curto período de tempo, eles evitam ser bloqueados devido a um número excessivo de tentativas. Os cibercriminosos têm como alvo os logins mais que usam as senhas mais comuns. 

Depois que o acesso a uma máquina ou conta é obtido, o objetivo é aproveitá-lo para acessar outras áreas do sistema. Por exemplo, os hackers podem entrar na unidade de nuvem de um usuário em busca de senhas para outras contas ou permissões de administrador. Portanto, embora os pulverizadores de senha possam não obter acesso ao seu alvo final, eles efetivamente levam os criminosos para dentro do ambiente que desejam atacar. 

Password Spraying vs outros ataques de senha 

Hoje, os cibercriminosos empregam uma ampla variedade de ataques baseados em senha para obter acesso não autorizado a dispositivos, sistemas e redes. Veja como a difusão de senha difere de algumas das outras variedades comuns de ataques de senha. 

Ataques de força bruta 

Os ataques de força bruta usam programas que tentam continuamente milhares de combinações de senha na tentativa de fazer o login em uma única conta ou máquina. Por outro lado, a pulverização de senha tenta apenas obter acesso com uma senha de cada vez. Ataques de força bruta podem funcionar mesmo com senhas complexas – com tentativas suficientes – enquanto alveja senhas simples. A anatomia de um ataque de força bruta é normalmente mais complexa do que a de pulverização. 

Ataques de keylogger 

Nesse tipo de ataque, os agentes mal-intencionados obtêm acesso à senha de um usuário monitorando suas teclas físicas em seu computador. Isso normalmente é feito com malware instalado em uma máquina sem o conhecimento do usuário, mas também pode ser realizado com dispositivos físicos de monitoramento de hardware.  

Uso de credenciais vazadas 

Em um ataque com o uso de credenciais vazadas, os hackers obtêm acesso a uma lista de contas comprometidas ou credenciais de hacks anteriores. Essas credenciais normalmente podem ser encontradas ou compradas na dark web ou entre círculos de hackers. Os criminosos então adotam uma abordagem de força bruta para adivinhar as senhas de contas já sabidamente comprometidas, em vez usar como alvo todas as contas, independentemente de qualquer comprometimento anterior. 

Ataque de Phishing 

Os hackers também podem tentar coletar a senha de um usuário por meio da interação direta com o indivíduo. O invasor pode se passar por um terceiro ou serviço legítimo, direcionando-o a um link e página da Web falsos em que o usuário é solicitado a inserir suas credenciais de senha para o que parece ser seu banco, conta médica ou outros serviços. A pulverização de senha não envolve esses esforços imediatamente óbvios, ocorrendo nos bastidores e sem o conhecimento da organização e dos usuários. 

Interceptação de tráfego 

Outra forma de os hackers descobrirem as senhas é por meio do monitoramento de dados e do tráfego por meio de redes wi-fi. Coisas como aplicativos de mensagens ou correspondência de e-mail são direcionados e atores mal-intencionados tentam encontrar comunicações contendo senhas. Conexões wi-fi inseguras que não empregam criptografia HTTP são particularmente vulneráveis. A interceptação de tráfego requer muito mais sobrecarga e esforço tecnológico, o que muitas vezes torna a pulverização uma opção mais atraente para agentes mal-intencionados. 

Como funcionam os ataques de pulverização de senha  

Ataques de pulverização de senha normalmente ocorrem nas três etapas sequenciais comuns a seguir: 

1. Primeiro, o criminoso obtém uma lista de nomes de usuário 

Obter uma lista de contas de nome de usuário para uma organização geralmente é mais fácil do que realmente parece. A maioria das empresas tem uma convenção formal padronizada para e-mails que funcionam também como nomes de usuário de contas, como nome.sobrenome@empresa.com. Os criminosos, então, podem então usar o software para validar a precisão dos nomes de usuário que eles acham que existem. Como alternativa, as listas de nome de usuário também podem ser adquiridas online através da dark web. Às vezes, nomes de usuário e endereços de e-mail correspondentes estão disponíveis no site da empresa ou nos perfis online do usuário. 

2. Depois, hackers começam a espalhar as senhas 

Localizar uma lista de senhas comumente usadas também é extremamente fácil. As principais senhas de cada ano podem ser encontradas com uma simples pesquisa no Google ou no Bing, e até são publicadas na Wikipedia. Embora essas possam ser boas opções para pulverização, os hackers também podem levar em consideração as diferenças regionais. Para uma organização localizada em Dallas, por exemplo, os hackers podem escolher um time esportivo popular, como “Cowboys”, já que muitos usuários usam essa abordagem simplista e fácil de lembrar para suas senhas. Depois de espalharem a primeira senha, os invasores esperarão pelo menos 30 minutos para tentar a próxima e evitar o disparo de um tempo limite. 

3. Por último, os criminosos obtêm acesso à conta e ao sistema 

Em muitos casos, uma das senhas comuns realmente funcionará em uma única conta da organização. Se apenas um usuário não estiver seguindo as dicas e práticas recomendadas de senha, o ataque de pulverização será bem-sucedido. Uma vez que o acesso é concedido, o hacker pode acessar uma miríade de contas e serviços para aquele indivíduo. O invasor então usa esse acesso para fazer reconhecimento interno, direcionar redes mais profundas ou obter acesso a outras contas com privilégios elevados. A amplitude de acesso que um ataque de pulverização pode conceder torna a geração efetiva e complexa de senhas muito mais crítica para as organizações. 

Três sinais de detecção de espalhamento de senha 

Uma das melhores coisas que você pode fazer para evitar ser vítima de ataques de espalhamento de senha é a detecção adequada. Aqui estão três sinais a serem procurados, que indicam que seus sistemas e organização podem estar no meio de um ataque de espalhamento de senha. 

1. Pico repentino em logins com falha 

Uma vez que a pulverização de senha cobre tantas contas dentro de uma organização ao mesmo tempo, um grande número de tentativas de login malsucedidas em um curto espaço de tempo é uma indicação de pulverização de senha. 

2. Alto número de contas bloqueadas  

A pulverização de senha evita tempos limite, esperando até a próxima tentativa de login. No entanto, se você vir um número excepcionalmente alto de contas bloqueadas, isso pode ser uma pista de que os hackers espalharam uma vez, foram bloqueados e estão esperando para tentar novamente em breve. 

3. Tentativas de usuário desconhecidas ou inválidas 

Os hackers que fazem a pulverização de senhas provavelmente não têm uma lista totalmente precisa de credenciais de nome de usuário. Eles estão adivinhando ou compraram uma lista desatualizada online. Se você vir funcionários antigos ou nomes de usuário inválidos tentando fazer o login, pode ser uma pulverização de senha. 

Três etapas para corrigir um ataque de pulverização de senhas 

Se você conseguir detectar um ataque de pulverização de senhas em andamento, siga estas etapas para proteger contas vulneráveis ​​e fortalecer suas defesas contra esforços futuros de espalhamento de senha.  

1. Alterar senhas organizacionais 

A primeira coisa que você deve fazer é alertar todos os funcionários da empresa para alterar e atualizar suas senhas. Informe-os para não usarem senhas comuns ou frases e combinações simples. Dê-lhes orientações sobre como criar uma senha suficientemente complexa ou forneça-lhes uma ferramenta de geração de senha. 

2. Implemente e audite o plano de resposta a incidentes 

Cada empresa deve ter um plano de resposta a incidentes cibernéticos de algum tipo. Se você suspeitar de um ataque de espalhamento de senha, deverá começar a implementar as etapas descritas imediatamente. Quando sentir que suas contas de usuário estão seguras, você desejará revisar e auditar o plano para garantir que as atividades de remediação específicas para ataques de pulverização de senha sejam incluídas. 

3. Defina as configurações de senha de segurança 

Se sua organização utiliza uma plataforma de registro de segurança, certifique-se de que esteja configurada para identificar ou detectar tentativas de login com falha em todos os sistemas. Isso ajudará a detectar os sinais reveladores de ataques de espalhamento de senha no futuro, bem como qualquer um que esteja ocorrendo no momento. As configurações corretas também vão aumentar sua capacidade de investigação, dando visibilidade em todas as atividades de login com falha. 

Como prevenir ataques de campanhas de divulgação de senha 

Agora que você está totalmente ciente do que são ataques de pulverização de senha e quais ações tomar se você detectá-los, é preciso implementar a infraestrutura certa para evitar que esforços futuros de pulverização sejam bem-sucedidos. 

Ative a proteção de senha do Active Directory 

Muitos sistemas, como o Microsoft Azure, por exemplo, permitem que os administradores eliminem completamente o uso de senhas comuns ou facilmente adivinhadas. Se você tiver esta opção, ative-a. Ao banir as senhas mais propensas a ataques de pulverização desde o início, você afasta os hackers na passagem. Você também pode incluir listas personalizadas de senhas comuns que podem ser relevantes para seu setor, empresa ou região específica. Se sua empresa atua no setor de software, por exemplo, você pode proibir uma senha como “SteveJobs123”. 

Realize pentests para assegurar a proteção 

Um ataque simulado de pulverização de senha ajuda a avaliar o quão vulneráveis ​​são as medidas de senha de sua organização. Por exemplo, algum software de simulação de ataque permitirá que você escolha uma lista de senhas comuns e relate quantos usuários em sua empresa as possuem. Simular esse tipo de invasão também permite  que você teste várias senhas específicas da região ou da indústria e decida quais devem ser incluídas em sua lista de banimento personalizada. 

Implemente o acesso de usuário sem senha 

Uma das medidas de prevenção mais infalíveis contra a pulverização é eliminar totalmente o uso de senhas em sua empresa. Isso significa implementar tecnologia como acesso de usuário biométrico ou ativado por voz, o que é extremamente difícil para hackers roubar, duplicar ou fazer login (por enquanto). No mínimo, você deve habilitar a autenticação multifator (MFA) para que uma senha por si só não seja suficiente para obter acesso ao sistema ou dispositivo. Mas, em última análise, uma infraestrutura totalmente sem senha pode ser a defesa definitiva contra a difusão de senhas. 

Use as soluções Varonis  

A pulverização de senhas é um dos muitos riscos à segurança de dados que os hackers representam hoje. Uma vez dentro, um invasor pode obter acesso persistente, exfiltrar dados confidenciais e liberar ransomware. Soluções de detecção e resposta a ameaças como o Varonis DatAlert podem ajudar as organizações a proteger seus dados de missão crítica contra-ataques cibernéticos antes que o dano seja feito.   

A Varonis utiliza modelos de ameaças baseados em comportamento para detectar os primeiros sinais de comprometimento, como a difusão de senha de uma única fonte ou um número incomum de bloqueios de contas. Nós monitoramos a atividade de dados para detectar ameaças potenciais, como acesso anormal a dados confidenciais. Os alertas também podem acionar respostas automatizadas, como encerrar as sessões dos usuários afetados ou alterar as senhas para ajudar a impedir um ataque em andamento. Com uma trilha de auditoria legível, a Varonis também pode ajudar a reduzir o tempo geral de investigação para ataques de pulverização de senha em mais de 90%, de acordo com um estudo da Forrester Research.    

Além da detecção, a Varonis permite que você visualize seu risco e reduza drasticamente a superfície de ataque, eliminando o acesso excessivo a dados. 

Quer saber como podemos ajudar? Entre em contato conosco e agende uma demo.