O que é Password Spraying e como você pode detectar e bloquear ataques?

Em 2019, um roubo de dados na Citrix abalou o mundo da cibersegurança. Os atacantes roubaram documentos comerciais de uma unidade de rede compartilhada e de uma unidade associada a uma ferramenta baseada na web utilizada na prática de consultoria da Citrix. Os hackers obtiveram esse acesso à infraestrutura de TI da Citrix por meio de um ataque de pulverização de senhas, uma técnica que explora senhas fracas, levando a críticas de que o gigante do software comprometeu desnecessariamente seus clientes ao não estabelecer uma estratégia sólida de senhas.

A Citrix está longe de ser a única empresa que falha na segurança de senhas. Quando uma equipe de pesquisa sobre ameaças analisou todas as contas de usuário da Microsoft no início de 2019, descobriu que 44 milhões de usuários estavam usando os mesmos nomes de usuário e senhas que já haviam sido vazados online após violações de segurança em outros serviços online. Essa tendência é alarmante, pois o Relatório de Investigações de Violação de Dados de 2020 revela que mais de 80 por cento das violações relacionadas a hacking envolvem credenciais roubadas (ou perdidas) ou ataques de força bruta.

Os ataques de pulverização de senhas não podem ser prevenidos, mas podem ser detectados e até mesmo interrompidos. Neste artigo, explicamos como esse tipo de ataque se desenrola, como você pode identificar ataques em andamento e como pode mitigar o risco de se tornar a próxima vítima.

O que é um ataque de Password Spraying?

Ataques típicos de força bruta visam uma única conta, testando várias senhas para tentar obter acesso. Protocolos modernos de cibersegurança podem detectar essa atividade suspeita e bloquear uma conta quando muitas tentativas de login falhadas ocorrem em um curto período de tempo.

O password spraying inverte a estratégia convencional ao tentar fazer login em várias contas de usuário usando muitas senhas comuns. Tentar uma única senha em muitas contas diferentes antes de tentar outra senha nas mesmas contas contorna os protocolos normais de bloqueio, permitindo que o atacante continue tentando mais e mais senhas.

Infelizmente, ataques de pulverização de senhas são frequentemente bem-sucedidos porque muitos usuários não seguem as password best practices. De fato, as 200 senhas mais comuns vazadas em violações de data breach em 2019 incluíam combinações óbvias de números como “12345”, nomes próprios femininos comuns e a própria palavra “password”. Qualquer atacante que vise um número suficientemente grande de nomes de usuário e trabalhe com um banco grande o suficiente de senhas comuns certamente conseguirá comprometer algumas contas.

Embora lançar uma rede ampla provavelmente retorne pelo menos alguns sucessos, os hackers astutos de hoje dependem de uma abordagem mais precisa. Eles concentram sua atenção em usuários que utilizam autenticação de login único (SSO), na esperança de adivinhar credenciais que lhes darão acesso a vários sistemas ou aplicativos. Eles também costumam direcionar usuários que utilizam serviços e aplicativos em nuvem que utilizam autenticação federada. Essa abordagem pode permitir que os atacantes se movam lateralmente, uma vez que a autenticação federada pode ajudar a mascarar o tráfego malicioso.

Uma vez que uma conta foi comprometida em um ataque de pulverização de senhas, a vítima pode sofrer perda temporária ou permanente de informações sensíveis. Para as organizações, um ataque bem-sucedido também pode significar operações interrompidas, perdas significativas de receita e danos à reputação.

Como detectar um ataque de Password Spraying

Embora as contramedidas convencionais possam não detectar automaticamente ataques de pulverização de senhas, existem vários indicadores confiáveis a serem observados. O mais óbvio é um alto número de tentativas de autenticação, especialmente tentativas falhadas devido a senhas incorretas, em um curto período de tempo. Naturalmente, um indicador intimamente relacionado é um pico nos bloqueios de contas.

Em muitos casos, o password spraying leva a um aumento repentino nas tentativas de login envolvendo portais SSO ou aplicativos em nuvem. Partes maliciosas podem usar ferramentas automatizadas para tentar milhares de logins em um curto período de tempo. Muitas vezes, essas tentativas vêm de um único endereço IP ou de um único dispositivo.

Como mitigar o risco de se tornar vítima de um ataque de pulverização de senhas

Embora seja fundamental poder detectar rapidamente ataques bem-sucedidos, permitir que os atacantes tenham acesso, mesmo que breve, a dados sensíveis pode ser devastador. Uma estratégia sólida de cibersegurança requer uma abordagem abrangente e proativa que garanta proteção em camadas para bloquear o maior número possível de ataques. Certifique-se de seguir estas melhores práticas:

• Exigir autenticação multifatorial para todos os usuários.
• Certifique-se de que todas as senhas estejam de acordo com as diretrizes do National Institute of Standards and Technology (NIST).
• Estabeleça políticas sólidas para redefinição de senhas após bloqueios de conta.
• Desenvolva uma estratégia de senha defensável para contas compartilhadas.
• Realize treinamentos regulares para os usuários para garantir que todos entendam a ameaça da pulverização de senhas e como podem criar e manter senhas seguras.

Como as soluções da Netwrix podem ajudar

A melhor maneira de defender sua organização contra ataques de pulverização de senhas é investir em uma ferramenta de segurança de TI que possa detectar e bloquear esses ataques de forma confiável, com auditoria, alertas e relatórios abrangentes.

Netwrix Auditor pode alertá-lo para uma ampla variedade de atividades suspeitas, incluindo eventos indicativos de um ataque de pulverização de senhas, para que você possa responder imediatamente para proteger seus sistemas e dados. Além disso, oferece auditoria e relatórios poderosos. Os principais recursos incluem:

• Auditoria e alerta do Active Directory. Netwrix Auditor rastreia os registros do Active Directory e outras atividades dos usuários, incluindo todos os tentativas de login. Você pode configurar alertas sobre atividades que considerar suspeitas, incluindo ações únicas como um usuário obtendo privilégios de administrador ou uma sequência de ações dentro de um período de tempo especificado, como mais de 4 tentativas de login falhadas em 1 minuto. Você também pode revisar facilmente o histórico completo de login de qualquer usuário.
• Análise do comportamento do usuário. Uma visão consolidada de atividades incomuns e classificação de atores de risco facilita a identificação precoce de contas comprometidas e insiders maliciosos, para que você possa agir para evitar problemas de segurança.
• Análise do comportamento do usuário e dos pontos cegos.Identifique atores maliciosos que se movem em seu ambiente examinando facilmente a atividade do usuário fora do horário padrão, tentativas de login de vários usuários de um único endpoint e tentativas de login de um único usuário de vários endpoints.

O Netwrix Auditor também ajuda você a fortalecer sua postura de segurança para que você seja menos vulnerável a ataques de pulverização de senhas em primeiro lugar. Em particular, você pode:

• Impor as melhores práticas de política de senhas com visibilidade completa sobre as configurações de políticas e alertas sobre alterações.
• Rastrear reinicializações de senha do Azure AD para manter uma forte segurança na nuvem.
• Descubra e proteja contas que não exigem senhas ou cujas senhas estão configuradas para nunca expirar.
• Identifique e desative contas inativas antes que possam ser exploradas por atacantes.

Em resumo, com o Netwrix Auditor, é possível identificar jogadores maliciosos desde o início e bloqueá-los proativamente para evitar que entrem na sua rede desde o início.