Ataques de Credential-Stuffing em sistemas Windows remotos decolaram em 2021

04/03/2022 mindsecblog Notícias 0

Ataques de Credential-Stuffing em sistemas Windows remotos decolaram em 2021, alimentando um aumento nos ataques de preenchimento de credenciais contra sistemas que executam o protocolo de desktop remoto (RDP).

A adivinhação de senhas se tornou a arma preferida do ano passado, quando os invasores tentaram forçar servidores de protocolo de área de trabalho remota (RDP), bancos de dados SQL e compartilhamentos de arquivos SMB vulneráveis.

Os invasores têm direcionado cada vez mais sistemas remotos do Windows, alimentando um aumento nos ataques de preenchimento de credenciais contra sistemas que executam o protocolo de desktop remoto (RDP), que saltou quase nove vezes em 2021, de acordo com novos dados.

Um relatório publicado pela ESET mostra que os ataques baseados em senha atingiram os países europeus com mais força – particularmente, Espanha, Itália, França e Alemanha – representando 116 bilhões dos 288 bilhões de ataques RDP detectados pela ESET em 2021. Enquanto os invasores visaram principalmente o RDP servidores, eles também enviaram bilhões de tentativas de login para servidores de banco de dados e compartilhamento de arquivos, de acordo com o relatório.

No total, o preenchimento de credenciais e outros ataques baseados em senhas foram responsáveis por 46% dos vetores de intrusão de rede externa.

O foco em tais ataques significa que as empresas precisam garantir a configuração e correção adequadas de qualquer serviço remotamente acessível e o uso de medidas de proteção apropriadas, como senhas fortes, autenticação multifator e várias camadas de produtos de segurança, diz Ondrej Kubovič, pesquisador de segurança. e especialista em conscientização da ESET.

“O que mudou drasticamente foi a escala dos ataques de adivinhação de senha“, diz ele. “Existem grupos por aí – [seja] pen testers, segurança interna, criminosos ou agentes de ameaças sofisticados – que estão aumentando suas capacidades de adivinhação de senhas e, assim, aumentando a chance de atingir a combinação correta de senha e nome de usuário e obter o acesso inicial .“

Credenciais de trabalho remoto expostas

O foco dos invasores em fazer login em serviços remotos e em nuvem usando credenciais padrão ou roubadas não é surpreendente, já que os funcionários das organizações mudaram para o trabalho remoto, e muitos continuam e vão continuar a trabalhar em casa.

A única boa notícia, de acordo com Kubovič, é que as empresas melhoraram a segurança em torno de suas credenciais, serviços remotos e aplicativos em nuvem.

“O número de dispositivos únicos que relatam esses números impressionantes de ataques de força bruta estagnou ao longo de 2021 [e] até encolheu um pouco no terceiro quartil”, diz ele. “Isso parece nos dizer que as organizações não estão expondo novos sistemas remotamente acessíveis, mas aqueles que já estão acessíveis são atacados com força crescente”.

Embora os ataques RDP tenham aumentado por um fator de nove, o volume de todas as ameaças detectadas em 2021 encolheu 16%, de acordo com o relatório , que se concentra nos últimos quatro meses de 2021 e resume as informações do ano inteiro. O volume de ameaças de ransomware e ameaças da Web caiu quase pela metade, enquanto os downloaders caíram cerca de 40%, de acordo com o relatório. No entanto, ameaças de e-mail, como phishing e cavalos de Tróia, subiram 145%.

Os ataques de phishing usaram assuntos populares, como medicamentos falsos e lembretes de caixas de entrada cheias, inundaram o Japão, a França e os Estados Unidos.

“O phishing, crescendo continuamente desde maio, tem cada vez mais direcionado usuários de serviços populares online e em nuvem – sejam plataformas usadas para trabalho remoto ou vários provedores de streaming e mídia”, afirmou Jiří Kropáč, chefe dos laboratórios de detecção de ameaças da ESET, no relatório. “Em 2022, continuaremos a enfrentar campanhas que alavancam grandes marcas, bem como campanhas oportunistas menores surgindo com base nas tendências atuais”.

O relatório é baseado em dados que a ESET coletou de sua telemetria, mas a empresa nem sempre tem uma maneira de separar as varreduras benignas dos pesquisadores e as varreduras maliciosas dos invasores, diz o pesquisador da ESET Mathieu Tartare. Muitas vezes, as varreduras fazem parte do reconhecimento de um invasor e servem apenas para criar uma lista de sistemas potencialmente vulneráveis.

Em alguns casos, no entanto, como verificações em servidores Microsoft Exchange usando o popular exploit ProxyShell, a atividade pode ser classificada como maliciosa ou benigna.

“Nós [normalmente] não temos como saber se um pesquisador, um pen tester, um grupo de crimes cibernéticos ou um grupo APT está realizando a verificação“, diz ele. “No entanto, se considerarmos tentativas de exploração em vez de atividades de varredura, no caso do ProxyShell, alguns shells da Web bloqueados ou primeiros estágios são usados por grupos específicos de APT, permitindo-nos atribuir os ataques e excluir atividades de pesquisa ou teste de caneta.“

Log4Shell
Uma tendência preocupante é a velocidade com que os invasores adaptam as vulnerabilidades e explorações mais recentes, diz Kubovič. Os invasores começaram a usar o exploit Log4Shell , por exemplo, em questão de semanas, o que deixou muitas empresas vulneráveis.

“O único ponto que se destacou em 2021 para mim foi a rapidez com que cibercriminosos e grupos de APT exploraram vulnerabilidades críticas publicadas recentemente”, diz ele. “Portanto, a única coisa em que as empresas devem se concentrar mais em 2022 é garantir que tenham visibilidade de todos os dispositivos e sistemas em suas redes e mantê-los todos corrigidos – muito difícil, eu sei.“

Fonte: DarkreadingVeja também: