Home  >  Segurança

Roubo de credenciais é o oxigênio que alimenta ataques bem-sucedidos

Pesquisa da equipe de inteligência de ameaças da Palo Alto Networks aponta que dois em cada três ataques envolvem credenciais comprometidas

Por Arthur Capella *

04/05/2017 às 16h54

roubo_dados_625.jpg
Foto:

As senhas são as clássicas necessidades do ambiente virtual e, quando combinadas com nomes de usuários, formam as credenciais. Quase toda atividade online exige a criação de credenciais, seja para contas de e-mail, contas bancárias, acesso a redes corporativas, redes sociais, jogos, serviços de streaming, ou qualquer registro online.

Na teoria, cada uma dessas contas deveria ter uma senha única e forte, alterada regularmente, armazenada e forma protegida dos cibercriminsos.

Na prática é bem diferente.  A Unit 42, equipe de inteligência de ameaças da Palo Alto Networks lançou a pesquisa "Roubo de credenciais: o oxigênio de ataques bem-sucedidos", que explica como o roubo de credenciais é um fator fundamental para muitos ataques bem-sucedidos. Na pesquisa é possível compreender como o roubo acontece, variedades de ataques e o que fazer para se prevenir.  

Uma credencial legítima é a porta de entrada de cada conta e organização, independentemente se o dono da credencial ou quem a roubou esteja usando. Portanto, não é de estranhar que o Relatório da Verizon de 2014, o DBIR (sigla em inglês para Data Breach Investigations Report), aponte que dois a cada três ataques envolvem credenciais comprometidas.

Esse relatório também revela que 63% das violações de dados foram realizadas com roubo de – que é a abordagem mais comum em ataques de web-app.   As credenciais são o oxigênio da atividade maliciosa: elas estão sempre lá, necessárias, mas quase nunca recebem a atenção merecida. Os cibercriminosos desenvolvem suas estratégias mirando o roubo dessas credenciais como um alvo ou como um meio para obter acesso a uma rede em todas as fases do ciclo de vida do ataque.  

O roubo pode ocorrer de várias formas, incluindo phishing, malware distribuídos com spam, engenharia social, reutilização de senha e de segurança e falta de tecnologia adequada de cibersegurança. Vale lembrar que o phishing de credenciais é particularmente notável e é uma tática usada pelo Sofacy, grupo de cibercrime que a Unit 42 rastreia.

Já em posse das credenciais, eles podem utilizá-las para acessar redes remotamente, recursos da nuvem ou realizar movimentos laterais, um passo importante na estratégia em ataques e violações de dados. Os recursos da nuvem enfrentam desafios particulares de cibersegurança, já que empresas com proteções potentes de credenciais em suas redes podem não ter o mesmo cuidado na nuvem.  

Um exemplo recente e notório de roubo de credenciais foi o Shamoon 2, campanha investigada pela Unit 42 e que causou três grandes ondas de ataques na Arábia Saudita, utilizando uma combinação de ferramentas legítimas e scripts para promover reconhecimento de rede, roubo de credenciais e entregar um trojan de capacidade altamente destrutiva, o Disttrack.

A campanha Shamoon começou a receber atenção no início de 2016 e segue crescendo e preocupando as equipes de segurança.   Se o roubo de credenciais é o oxigênio dos ataques, então impedi-lo pode cortar esse oxigênio e prevenir ciberataques. As principais abordagens para prevenir o roubo de credenciais são Dupla Autenticação ou Autenticação Multi-Fator (2FA / MFA), OTP (sigla em inglês para One-Time Passwords) – senhas válidas para único acesso ou transação, gerenciadores de senha e orientação do usuário.

Além disso, é fundamental buscar uma plataforma de cibersegurança potente e atualizada, capaz de interromper o envio de credenciais corporativas com senhas em sites desconhecidos, bloquear o acesso a sites de phishing conhecidos com filtro de URL e proteger aplicações críticas.   Vale lembrar que o roubo de credenciais não requer alto nível de habilidade técnica.

Os agentes maliciosos podem alugar as ferramentas necessárias como keyloggers e trojans em fóruns ou até mesmo comprar credenciais já roubadas – em muitos casos verificadas e ativas. Então, redobre a atenção com suas credenciais, oriente os usuários da sua rede e garanta a proteção necessária para bloquear de vez a porta que bombeia o oxigênio para os cibercriminosos.  

(*) Arthur Capella é gerente geral da Palo Alto Networks no Brasil