Sempre que falamos de ciberataques, há três formas básicas de os atacantes acederem a uma rede vítima:
Phishing: Utilizam a capacidade dos e-mails para se infiltrarem logicamente numa rede, dando potencialmente aos atacantes uma base de apoio caso o ataque seja bem sucedido na infeção de um ponto final.
Vulnerabilidades: Ao utilizar vulnerabilidades conhecidas ou de dia zero (que não foram corrigidas), os atacantes podem obter privilégios elevados em sistemas e aplicações e aproveitá-los para aceder ao resto da rede.
RDP/acesso remoto: Os atacantes utilizam credenciais comprometidas ou ataques de força bruta a palavras-passe, utilizando-as como canal para entrar numa rede.
As empresas concentram-se normalmente nos dois primeiros vectores de ataque acima referidos. Quando discutem o terceiro, normalmente concentram-se em RDP e não na insegurança da autenticação quando um atacante entra numa sessão de logon remoto.
Por isso, neste artigo, queremos explorar o que acontece quando um atacante encontra e utiliza um acesso remoto (RDP ou outra, aqui genericamente referida como acesso remoto).
Vamos analisar os métodos de ataque de força bruta utilizados para comprometer uma credencial, a sua prevalência, a razão pela qual os utilizadores estão a facilitar a tarefa ao atacante e o que pode fazer-se em relação a isso.
O que é um ataque de força bruta?
Um ataque de força bruta é um tipo de ataque cibernético em que um atacante usa tentativa e erro para adivinhar ou decifrar a palavra-passe, as credenciais de início de sessão ou as chaves de encriptação de um utilizador. Este método de ataque envolve tentar sistematicamente todas as combinações possíveis de caracteres, números e caracteres especiais para obter acesso não autorizado à conta, sistema ou rede de um utilizador.
Os ataques de força bruta podem ser efectuados manualmente ou através de ferramentas de software automatizadas, o que os torna populares entre os hackers.
Tipos de ataques de força bruta
Existem vários tipos de ataques de força bruta, incluindo:
Ataque simples de força bruta: Envolve a tentativa de todas as combinações possíveis de letras, números e caracteres especiais para adivinhar a palavra-passe de um utilizador.
Ataque reverso de força bruta: O atacante começa com uma senha conhecida e tenta encontrar um nome de usuário correspondente.
Ataque ao dicionário: Os atacantes tentam uma lista de palavras, frases e palavras-passe comuns para adivinhar a palavra-passe de um utilizador.
Ataque híbrido de força bruta: Este tipo de ataque combina um ataque de dicionário com um ataque de força bruta tradicional.
Recheio de credenciais: Implica a utilização de uma lista de nomes de utilizador e palavras-passe roubados para obter acesso não autorizado a várias contas.
Motivos por trás dos ataques de força bruta
Compreender os motivos por detrás dos ataques de força bruta é essencial para avaliar os riscos e implementar medidas de segurança eficazes. Os cibercriminosos raramente agem sem um objetivo. Os seus objectivos incluem frequentemente ganhos financeiros, espionagem ou perturbação das operações. Por exemplo, as indústrias que lidam com dados sensíveis, como Assistência Médica ou as finanças, enfrentam maiores riscos de espionagem, enquanto as empresas mais pequenas podem ser alvo de ransomware ou roubo de credenciais devido a orçamentos de TI limitados.
Eis mais de perto porque é que os atacantes utilizam tácticas de força bruta:
Roubo de credenciais com fins lucrativos
Uma das razões mais comuns por detrás dos ataques de força bruta é o roubo de credenciais de utilizador, tais como nomes de utilizador e palavras-passe. Uma vez obtidas, estas credenciais podem ser vendidas em mercados da dark web, muitas vezes como parte de grandes descargas de dados, ou utilizadas para obter acesso não autorizado a sistemas valiosos. Por exemplo, um atacante pode vender detalhes de login para os sistemas internos de uma organização, permitindo que outros lancem ataques direcionados, como ransomware ou roubo de dados.
Implantação de ransomware
Os ataques de força bruta são frequentemente utilizados como ponto de entrada para a implantação de ransomware. Ao obter acesso aos sistemas através de credenciais comprometidas, os atacantes podem encriptar dados críticos e exigir um resgate pela sua libertação. Este motivo foi amplificado pelo aumento do trabalho remoto, que muitas vezes se baseia em protocolos Remote Desktop (RDP) ou outras soluções de acesso remoto que são vulneráveis a ataques de força bruta.
Espionagem e extração de dados
Os ataques de força bruta são utilizados por cibercriminosos com motivos ligados à espionagem empresarial ou patrocinada pelo Estado. Permitem que os atacantes se infiltrem nas redes e extraiam dados sensíveis. Os atacantes podem visar propriedade intelectual, segredos comerciais ou informações confidenciais. Utilizam métodos de autenticação fracos para aceder a sistemas de elevado valor.
Interrupção do sistema
Por vezes, o objetivo não é roubar dados ou dinheiro, mas sim perturbar as operações de uma organização. Os ataques de força bruta podem fazer parte de campanhas maiores para sobrecarregar os sistemas, causar tempo de inatividade ou minar a confiança dos clientes. Nestes casos, os atacantes pretendem prejudicar a reputação ou as capacidades de uma organização em vez de obterem benefícios financeiros diretos.
Testar e explorar as falhas de segurança
Os ataques de força bruta servem frequentemente como ferramentas de reconhecimento. Os atacantes podem utilizá-los para sondar as defesas de uma organização, identificando pontos fracos nos sistemas de autenticação. Esta informação pode depois ser utilizada para criar ataques mais sofisticados e direcionados.
Reutilização de credenciais em várias plataformas
Muitas pessoas reutilizam as palavras-passe em várias contas. Sabendo disso, os cibercriminosos exploram ataques de força bruta para aceder não apenas a uma conta, mas potencialmente a toda uma rede de serviços interligados. Esta tática, conhecida como credential stuffing, é especialmente problemática quando uma única palavra-passe comprometida pode levar a violações mais amplas.
Intermediação de acesso inicial
Em alguns casos, os ataques de força bruta são conduzidos por corretores de acesso inicial, cibercriminosos especializados em invadir redes e vender acesso a outros atacantes. Estes corretores utilizam sistemas de autenticação fracos para entrar e vender credenciais a quem pretende efetuar ataques em grande escala, como espionagem ou ransomware.
Compreender estes objectivos pode ajudar as organizações a dar prioridade às suas defesas, tais como autenticação melhorada, auditorias de segurança de rotina e formação dos Empregados, para mitigar as vulnerabilidades de forma eficaz.
Ataques de força bruta online e offline
Os ataques de força bruta dividem-se em duas categorias principais: online e offline, cada uma apresentando desafios únicos.
Ataques de força bruta online
Estes ataques visam sistemas ou redes em funcionamento. Os atacantes adivinham repetidamente as palavras-passe utilizando ferramentas automatizadas. Ocorrem em tempo real, o que os torna detectáveis através da monitorização de tentativas de início de sessão invulgares, como falhas repetidas a partir de um único endereço IP.
As estratégias de mitigação incluem a limitação da taxa para abrandar as tentativas, desafios CAPTCHA para bloquear bots e autenticação multifactor (MFA) para aumentar a segurança.
Ataques de força bruta offline
Os ataques offline envolvem a quebra de hashes de palavras-passe roubadas sem interagir com sistemas activos. Os atacantes utilizam ferramentas poderosas para testar combinações, dificultando a deteção.
As medidas de defesa incluem a segurança do armazenamento de palavras-passe com hashes salgados e a utilização de encriptação forte. As actualizações regulares do sistema também são essenciais para corrigir as vulnerabilidades.
Porque é que os ataques de força bruta são um problema?
Sempre que se vê uma história ou uma estatística da indústria sobre RDP estar envolvido num ciberataquenão te esqueças de que, no momento do ataque, o atacante tinha ou não um nome de utilizador e uma palavra-passe funcionais para iniciar sessão.
Nos cenários em que o atacante está a começar do zero – como acontece com os corretores de acesso inicial – o objetivo não é apenas obter acesso, mas também obter um conjunto de credenciais funcionais que será utilizado no ataque atual ou vendido na dark web a outro atacante que procure acesso inicial.
Isto significa que, por vezes, os atacantes precisam de utilizar ataques de força bruta à palavra-passe para descobrir a palavra-passe associada a um determinado nome de utilizador.
As ferramentas de ataque de força bruta são concebidas para automatizar o processo de adivinhação de credenciais, tornando-o mais rápido e eficiente para os atacantes.
De acordo com o MITRE ATT&CK Framework (pronuncia-se “ATTACK”) que descreve quase todas as tácticas, técnicas e procedimentos maliciosos utilizados pelos cibercriminosos, existem quatro tipos de métodos de ataque de força bruta:
Adivinhação de palavras-passe: Adivinhar sistematicamente as palavras-passe utilizando um mecanismo repetitivo ou iterativo baseado numa lista de palavras-passe comuns.
Pulverização de palavras-passe: Quando um atacante adquire uma lista de nomes de utilizador e tenta iniciar sessão utilizando a mesma palavra-passe para todos eles.
Decifrar palavras-passe: Utilizar tabelas arco-íris ou adivinhar palavras-passe e calcular hashes para decifrar hashes de palavras-passe.
Comprometimento de credenciais: Usa credenciais obtidas a partir de dados de violação de contas não relacionadas para obter acesso às contas alvo.
A decisão de utilizar um método em vez de outro baseia-se em grande medida no facto de o atacante conhecer ou não nomes de utilizador e/ou palavras-passe na rede da vítima.
Mas qual é a prevalência dos ataques de força bruta às palavras-passe?
De acordo com a seguradora cibernética Hiscox do Reino Unido, 17% dos ataques de ransomware que viram como parte de pedidos de indemnização de seguros cibernéticos começaram com um ataque de força bruta. É quase 1 em cada 5. Também vimos ataques de força bruta em massa em 2022 com 47 milhões de ataques no Sudeste Asiático contra trabalhadores remotos.
Portanto, trata-se de um problema muito real… por várias razões.
1. Existem inúmeras fontes de palavras-passe fracas
As palavras-passe utilizadas em ataques de adivinhação, pulverização ou enchimento provêm frequentemente de várias fontes. Uma das principais fontes são as violações de dados que expõem nomes de utilizador e endereços de e-mail. Por exemplo, a violação do LinkedIn em maio de 2016 comprometeu 164 milhões de endereços de correio eletrónico e palavras-passe, o que a torna um contribuinte significativo para este tipo de ataques.
Outra fonte são as bases de dados pwned que catalogam as palavras-passe mais utilizadas, muitas das quais são surpreendentemente simples (por exemplo, “P@ssw0rd!”). Além disso, os atacantes exploram frequentemente as oportunidades de adivinhação direcionada, concentrando-se em utilizadores específicos, aumentando a probabilidade de encontrar palavras-passe fracas ou previsíveis.
De acordo com o Relatório de Exposição de Identidade 2023 da Spycloud, mais de 7 milhões das palavras-passe comprometidas recolhidas durante as violações envolvem um tema amoroso ou familiar (por exemplo, se eu souber o nome do teu cônjuge, posso começar a adivinhar por aí). Estes ataques envolvem muitas vezes o teste sistemático de várias combinações de palavras-passe para explorar palavras-passe fracas ou habitualmente utilizadas.
2. O comportamento do utilizador também contribui para os riscos de segurança
De acordo com o mesmo relatório da Spycloud, 72% dos utilizadores em 2022 reutilizaram palavras-passe anteriormente expostas, sendo que 61% dos utilizadores nos EUA reutilizaram palavras-passe.
As palavras-passe são reutilizadas uma média de 13 vezes. Parte da razão é o número de sistemas, aplicações e plataformas que o utilizador de hoje precisa para manter um logon.nas pequenas empresas, há uma média de 85 palavras-passe, enquanto nas grandes empresas há apenas 25.
A utilização de palavras-passe complexas pode melhorar significativamente a segurança da conta, tornando mais difícil para os atacantes terem êxito nos esforços de comprometimento de credenciais.
Com o atual poder de computação que permite aos atacantes testar até 1 bilião de palavras-passe por segundo num ataque de força bruta, SEGURANÇA das palavras-passe é essencial.
3. O Acesso remoto pode fornecer aos atacantes formas de obter acesso não autorizado
Adicionemos o acesso remoto à discussão, uma vez que os ataques de força bruta são apenas o meio de obter acesso não autorizado; a verdadeira vulnerabilidade reside na forma como a tua força de trabalho híbrida interage com os recursos empresariais.
Algumas organizações ainda dependem (ainda!) do RDP (o protocolo que não terá a morte horrível que merece em termos de cibersegurança!). Um relatório recente revelou que os cibercriminosos abusaram do RDP em 90% dos incidentes analisados, tornando-o um vetor crítico para ataques de ransomware. Mesmo que não esteja a utilizar o RDP, outras aplicações de acesso remoto também podem apresentar riscos significativos – 16% das violações de dados começaram com o comprometimento do RDP ou de outra aplicação de acesso remoto.
Isto significa que qualquer método de acesso remoto é um vetor de ataque para os cibercriminosos. Uma vez que 50% das organizações não se classificam como altamente eficazes na mitigação dos riscos do acesso remoto, é crucial implementar medidas de autenticação mais fortes para além da simples utilização de palavras-passe para proteger eficazmente o acesso remoto.
Práticas recomendadas de prevenção contra ataques de força bruta
A prevenção de ataques de força bruta requer uma abordagem em várias camadas que combine políticas fortes, salvaguardas técnicas e educação dos utilizadores. A autenticação multifactor (MFA) é a base da defesa. Implementa estratégias abrangentes para garantir uma postura de segurança mais ativa. Eis como podes manter-te à frente dos ataques de força bruta:
Estabelecer políticas de palavra-passe robustas
As políticas de palavras-passe fortes são a base de qualquer estratégia de prevenção de força bruta. Certifica-te de que todos os utilizadores aderem a estas práticas recomendadas:
Comprimento e complexidade: Exige que as palavras-passe tenham pelo menos 12 caracteres, com uma mistura de letras maiúsculas e minúsculas, números e caracteres especiais.
Actualizações regulares: Aplica políticas de expiração de palavras-passe para limitar a janela de oportunidade para os atacantes.
Evita a reutilização: Implementa sistemas que impeçam os utilizadores de reciclarem palavras-passe antigas.
Banir palavras-passe comuns: Utiliza ferramentas para bloquear palavras-passe fracas ou fáceis de adivinhar, como “123456” ou “password”.
Implementa ferramentas de monitorização da segurança
A monitorização e os alertas em tempo real podem ajudar a detetar e responder a ataques de força bruta antes de serem bem sucedidos. Considere a possibilidade de implementar as seguintes ferramentas:
Sistemas de deteção e prevenção de intrusões (IDPS): Ferramentas como Snort ou Suricata podem detetar tentativas de login incomuns e bloquear atividades suspeitas.
Soluções SIEM: Os sistemas de Gestão de Informações e Eventos de Segurança (SIEM), como o Splunk ou o LogRhythm, centralizam os dados de registo e fornecem informações sobre potenciais actividades de força bruta.
Limites de bloqueio de conta: Configura os sistemas para bloquear temporariamente as contas após um número específico de tentativas de início de sessão falhadas.
Eduque os colaboradores sobre as Práticas de Segurança
O erro humano é uma vulnerabilidade comum que os atacantes exploram. Fornecer formação contínua garante que os Empregados estão equipados para reconhecer e mitigar os riscos:
Sensibilização para o phishing: Dá formação ao pessoal para identificar tentativas de phishing que possam preceder ataques de força bruta.
Higiene das palavras-passe: Salienta a importância de palavras-passe únicas e fortes para as contas pessoais e profissionais.
Protocolos de comunicação: Incentiva os Empregados a comunicarem prontamente tentativas suspeitas de início de sessão ou comportamentos suspeitos do sistema.
Aproveita as configurações técnicas
As salvaguardas técnicas podem dificultar significativamente a execução de ataques de força bruta por parte dos atacantes. Implementa estas medidas:
Limitação de taxa: Abranda ou bloqueia IPs após uma série de tentativas de início de sessão falhadas.
Integração CAPTCHA: Adiciona desafios CAPTCHA às páginas de início de sessão para evitar tentativas de início de sessão automáticas.
Lista branca de IPs: Restringe o acesso de login a intervalos de IP específicos, especialmente para sistemas sensíveis.
Encripta as palavras-passe: Utiliza algoritmos de encriptação fortes, como o Argon2, para armazenar hashes de palavra-passe corretos.
Acesso remoto para além da palavra-passe
Os ataques de força bruta continuam a representar riscos significativos, mas uma abordagem proactiva e estratégias de prevenção podem reduzir drasticamente o seu impacto. Ao implementar a autenticação multi-fator (MFA), aplicar políticas de palavras-passe fortes e utilizar ferramentas de segurança avançadas, as organizações podem construir uma defesa robusta contra o acesso não autorizado.
Mesmo que a tua organização dependa de métodos de acesso remoto mais antigos ou mais vulneráveis, como o RDP, exigir MFA para todos os inícios de sessão é um primeiro passo fundamental. Para além da MFA, estratégias como a utilização de taxas de encriptação elevadas, a salga de hashes de palavras-passe, a definição de limites de tentativas de início de sessão e a utilização de desafios CAPTCHA após falhas repetidas podem impedir ataques de força bruta antes de serem bem sucedidos.
É também essencial educar os Empregados, monitorizar actividades suspeitas e implementar ferramentas como sistemas de deteção de intrusão para identificar potenciais ameaças em tempo real. O objetivo não é apenas responder aos ataques, mas também evitar que se concretizem.
Para aqueles que leram este artigo até ao fim, a conclusão é clara: os ataques de força bruta podem ser mitigados com medidas de segurança deliberadas e em camadas. Começa com a MFA – é uma das formas mais simples e eficazes de garantir o acesso remoto e proteger a tua organização. Não esperes para reforçar as tuas defesas; o momento de agir é agora.
