O que é Password Spraying e como você pode identificar e bloquear ataques?

Em 2019, um roubo de dados na Citrix abalou o mundo da cibersegurança. Os atacantes roubaram documentos empresariais de um drive de rede compartilhado e de um drive associado a uma ferramenta baseada na web usada na prática de consultoria da Citrix. Os hackers obtiveram esse acesso à infraestrutura de TI da Citrix através de um ataque de pulverização de senhas, uma técnica que explora senhas fracas, levando à crítica de que o gigante do software comprometeu desnecessariamente seus clientes por não estabelecer uma estratégia de senhas robusta.

A Citrix está longe de ser a única empresa que fica aquém no que diz respeito à segurança de senhas. Quando uma equipe de pesquisa de ameaças escaneou todas as contas de usuário da Microsoft no início de 2019, descobriram que 44 milhões de usuários estavam usando os mesmos nomes de usuário e senhas que já haviam sido vazados online após violações de segurança em outros serviços online. Essa tendência é alarmante, pois o 2020 Data Breach Investigations Report revela que mais de 80 por cento das violações relacionadas a hacking envolvem credenciais roubadas (ou perdidas) ou ataques de força bruta.

Ataques de pulverização de senhas não podem ser prevenidos, mas podem ser detectados e até mesmo interrompidos em seu curso. Neste artigo, explicamos como esse tipo de ataque se desenrola, como você pode identificar ataques em andamento e como pode mitigar o risco de se tornar a próxima vítima.

O que é um ataque de pulverização de senhas?

Ataques de força bruta típicos visam uma única conta, testando várias senhas para tentar obter acesso. Protocolos modernos de cibersegurança podem detectar essa atividade suspeita e bloquear uma conta quando ocorrem muitas tentativas de login mal-sucedidas em um curto período de tempo.

O ataque de pulverização de senhas inverte a estratégia convencional ao tentar fazer login em várias contas de usuário usando muitas senhas comuns. Tentar uma única senha em muitas contas diferentes antes de tentar outra senha nas mesmas contas contorna os protocolos normais de bloqueio, permitindo que o atacante continue tentando mais e mais senhas.

Infelizmente, ataques de pulverização de senhas são frequentemente bem-sucedidos porque muitos usuários não seguem as password best practices. De fato, as 200 senhas mais comuns vazadas em violações de data breach em 2019 incluíam combinações óbvias de números como “12345”, nomes próprios femininos comuns e a própria palavra “password”. Qualquer atacante que vise um número suficientemente grande de nomes de usuário e trabalhe com um banco grande o suficiente de senhas comuns certamente conseguirá comprometer algumas contas.

Embora lançar uma rede ampla provavelmente resultará em pelo menos alguns sucessos, os hackers astutos de hoje dependem de uma abordagem mais precisa. Eles miram em usuários que utilizam autenticação de single sign-on (SSO), na esperança de adivinhar credenciais que lhes darão acesso a múltiplos sistemas ou aplicações. Eles também costumam visar usuários que usam serviços e aplicações em nuvem que utilizam autenticação federada. Essa abordagem pode permitir que atacantes se movam lateralmente, já que a autenticação federada pode ajudar a mascarar o tráfego malicioso.

Uma vez que uma conta tenha sido comprometida em um ataque de pulverização de senhas, a vítima pode sofrer perda temporária ou permanente de informações sensíveis. Para organizações, um ataque bem-sucedido também pode significar operações interrompidas, perdas significativas de receita e danos à reputação.

Como Detectar um Ataque de Password Spraying

Embora as contramedidas convencionais possam não detectar automaticamente ataques de pulverização de senhas, existem vários indicadores confiáveis a serem observados. O mais óbvio é um alto número de tentativas de autenticação, especialmente tentativas fracassadas devido a senhas incorretas, em um curto período de tempo. Naturalmente, um indicador intimamente relacionado é um pico no bloqueio de contas.

Em muitos casos, o ataque de tentativa de senhas leva a um aumento repentino nas tentativas de login envolvendo portais SSO ou aplicações na nuvem. Partes maliciosas podem usar ferramentas automatizadas para tentar milhares de logins em um curto período de tempo. Frequentemente, essas tentativas vêm de um único endereço IP ou de um único dispositivo.

Como mitigar o risco de ser vítima de um ataque de pulverização de senhas

Embora seja crítico poder detectar prontamente ataques bem-sucedidos, permitir que atacantes tenham acesso, mesmo que breve, a dados sensíveis pode ser devastador. Uma estratégia de cibersegurança sólida requer uma abordagem abrangente e proativa que garanta uma proteção em camadas para bloquear o máximo possível de ataques. Certifique-se de seguir estas melhores práticas:

• Exigir autenticação multifator para todos os usuários.
• Certifique-se de que todas as senhas estejam de acordo com as diretrizes do National Institute of Standards and Technology (NIST).
• Estabeleça políticas sólidas para redefinição de senhas após bloqueios de conta.
• Desenvolva uma estratégia de senha defensável para contas compartilhadas.
• Realize treinamentos regulares com os usuários para garantir que todos entendam a ameaça do password spraying e como podem criar e manter senhas seguras.

Como as Soluções Netwrix Podem Ajudar

A melhor maneira de defender sua organização contra ataques de pulverização de senhas é investir em uma ferramenta de segurança de TI que possa detectar e bloquear esses ataques de forma confiável com auditoria abrangente, alertas e relatórios.

Netwrix Auditor pode alertá-lo sobre uma ampla variedade de atividades suspeitas, incluindo eventos indicativos de um ataque de pulverização de senhas, para que você possa responder imediatamente para proteger seus sistemas e dados. Além disso, oferece auditoria e relatórios poderosos. As principais características incluem:

• Auditoria e alertas do Active Directory. Netwrix Auditor rastreia logins do Active Directory e outras atividades de usuários, incluindo todas as tentativas de login bem-sucedidas e fracassadas. Você pode configurar alertas para atividades que considerar suspeitas, incluindo ações únicas como um usuário obtendo privilégios de admin ou uma sequência de ações dentro de um período especificado, como mais de 4 tentativas de login malsucedidas em 1 minuto. Você também pode revisar facilmente o histórico completo de logon de qualquer usuário.
• Análise de comportamento do usuário. Uma visão consolidada de atividades incomuns e classificação de atores de risco facilita a identificação precoce de contas comprometidas e insiders mal-intencionados, para que você possa agir a fim de evitar a segurança
• Análise de comportamento do usuário e pontos cegos. Identifique atores maliciosos infiltrados no seu ambiente ao examinar facilmente a atividade do usuário fora do horário comercial, tentativas de logon por vários usuários a partir de um único endpoint e tentativas de logon por um único usuário a partir de vários endpoints.

Netwrix Auditor também ajuda a fortalecer sua postura de segurança para que você seja menos vulnerável a ataques de pulverização de senhas desde o início. Em particular, você pode:

• Aplique as melhores práticas de password policy com total visibilidade das configurações de política e alertas sobre alterações.
• Acompanhe as redefinições de senha do Azure AD para manter uma segurança robusta na nuvem.
• Descubra e proteja contas que não exigem senhas ou cujas senhas estão configuradas para nunca expirar.
• Identifique e desative contas inativas antes que possam ser exploradas por atacantes.

Resumidamente, com Netwrix Auditor, é possível detectar atores maliciosos precocemente — e bloqueá-los proativamente antes que consigam invadir sua rede.