Por Caíque Barqueta: Devido à sua grande efetividade, o roubo de credenciais continua sendo um dos métodos mais utilizados por cibercriminosos. Esse mercado é lucrativo, e uma vez com as credenciais, esses criminosos conseguem acessar banco de dados de empresas e plataformas para concluir a fraude.

Os Initial Access Brokers (IABs) são uma espécie de cibercriminosos que vendem acessos a redes comprometidas. Podemos considerar que é um modelo de terceirização de serviços, no qual é possível, após obtido o acesso a redes de organizações, realizar facilmente sua venda.

Os IABs utilizam habilidades técnicas para realizar o acesso à rede corporativa, enquanto outros tipos de agentes criminosos focam em realizar outras etapas dos ataques cibernéticos, como os operadores de ransomware.

A grande ameaça que observamos hoje é o bom relacionamento entre os IABs e os operadores de ransomware, visto que essa cooperação acaba por “poupar” o tempo destes operadores, bastando apenas realizar a compra do acesso. A partir do momento que estes agentes passaram a utilizar a tática de “Big Game Hunting”, os IABs focaram em uma espécie de nicho para venda dos acessos, sendo possível localizar diversos anúncios e publicações de acessos iniciais em fóruns.

Existem algumas maneiras pelas quais os IABs realizam o comprometimento de rede, sendo elas:

• E-mails maliciosos ou Phishing: uma das técnicas mais utilizadas para invadir redes corporativas. Neste caso, basta apenas um e-mail convincente para um determinado funcionário direcionando-o a uma URL onde possa inserir suas credenciais de login, concedendo, então, o acesso para estes agentes.

• Adivinhação de senhas ou Guessing Passwords: este ataque ou método utilizado pelos IABs consiste em tentar identificar a senha mediante a ataques de brute force (força bruta), utilizando ferramentas automatizadas para advinhar senhas de sistemas abertos para a Internet, com por exemplo VPNs, RDP ou SSH.

• Exploração de vulnerabilidades: com a qual poderão realizar a varredura da rede da vítima/organização visando identificar os serviços utilizados, e, após identificação, por exemplo, verificar se há vulnerabilidades conhecidas que possam auxiliar no ataque de acesso inicial, como a vulnerabilidade Log4Shell.

Lembrando que o foco principal de acessos dos IABs é por meio de acessos VPNs, conexões RDP, aplicativos da web, servidores de e-mails corporativos e qualquer outro tipo de entrada inicial que leve os agentes a ganho de acesso.

Para que se tenha uma melhor ideia, os IABs são procurados por indivíduos que desejam comprar acessos iniciais, como o exemplo da busca no Fórum Russo, XSS.

É desta forma que é realizada a busca de acessos, porém, em outros casos existe a venda direta de acesso inicial, como o exemplo abaixo no mesmo fórum Russo, XSS.

Aqui podemos salientar que o trabalho de empresas de inteligência de ameaças, como no caso do time da ISH Heimdall e de governos por meio de monitoramento, gerou alertas para os membros dos referidos fóruns.

Isso se dá porque quando há o reconhecimento da vítima, ou seja, da empresa que está sendo anunciada, é possível iniciar uma busca na rede interna da empresa visando identificar qualquer tipo de acesso indevido em sua rede, prejudicando assim a venda direta do acesso inicial pelos agentes nos fóruns.

 No início, os IABs costumavam pegar o texto diretamente do site da organização vítima para descrevê-la claramente no anúncio, porém isso facilitou o trabalho de empresas de inteligência de ameaça a identificar e notificar a vítima. Por isso, os IABs passaram a alterar as descrições para que não fosse revelada à vítima.

Quanto aos cibercriminosos interessados, normalmente é solicitada uma prova do acesso disponível visando identificar se realmente o descrito no anúncio é verdadeiro e se a venda é confiável.

Já estes anunciantes dos acessos iniciais, com o intuito de adotar medidas de segurança, passam a solicitar que mensagens somente sejam encaminhadas de forma privada, visando, assim, eliminar qualquer tipo de empresa e governo que tente identificar a vítima.

Diante disto, podemos verificar o mercado altamente lucrativo que estes criminosos passam a oferecer a outros agentes de ameaças, visando claramente facilitar o acesso inicial às organizações para realizar a prática do “próximo estágio do ataque”, seja ele ransomware, espionagem industrial ou outros motivos e ações.

Mercado clandestino de credenciais roubadas

Além dos IABs, podemos também focar na venda de credenciais roubadas de usuários/vítimas, sendo este um mercado que é mais antigo que muitos tipos de agentes de ameaças, como os operadores de ransomware.

Existem bilhões de credenciais roubadas sendo comercializadas em mercados/fóruns clandestinos, sendo que possivelmente um grande volume destes acessos seja “reempacotado”, ou seja, credenciais roubadas anteriormente acabam por se juntar com as roubadas recentemente, sendo comercializadas como novas.

Os anúncios de credenciais são muito semelhantes do IABs. A imagem abaixo é um exemplo de venda de credenciais de diversas plataformas, tanto governamentais quanto privadas. Lembrando que, desta forma, o vendedor ou o cibercriminoso precisa incluir algumas informações para atrair compradores.

Embora seja quase impossível saber realmente a quantidade exata de credenciais vazadas sendo anunciadas em fóruns/mercados clandestinos, é importante realizar o monitoramento constante do vazamento de credenciais dos usuários e colaboradores.

Reutilizações de senhas

A razão pela qual os despejos de credenciais são um vetor de acesso inicial tão eficaz para ataques cibernéticos é que as pessoas infelizmente tendem a reutilizar senhas, até mesmo senhas para seus recursos e ferramentas relacionados ao trabalho.

Mesmo que a organização em si não seja violada, os funcionários geralmente usam seus endereços de e-mail de trabalho para se inscrever em serviços externos e acabam por utilizar as mesmas senhas para contas de trabalho e serviços externos.

Sabemos que, devido à alta demanda de utilização de senhas, é quase impossível se recordar de todas e é por isso que a maioria das pessoas reutilizam senhas ou utilizam um gerenciador de senhas.

Essa questão pode ser mitigada por meio de políticas de troca de senhas periódicas – porém, alertamos que até mesmo com a utilização dessa política pode haver problemas:

1. Aumento do número de senhas que os usuários precisam lembrar;
2. Normalmente as pessoas encontram atalhos para contornar a política.

Com relação ao segundo ponto, muitos usuários são forçados a alterar a senha a cada 60 ou 90 dias, mantendo uma senha base e adicionando um identificador depois, por exemplo, se a senha utilizada pelo usuário for o nome do seu cachorro, Bob, mais o ano, 2021, a senha será Bob2021; já a próxima senha devido à troca periódica será Bob2022 e assim sucessivamente.

Os agentes de IABs podem descobrir que a senha de um funcionário em uma venda ou dump de credenciais é algo como Bob2023, supõe-se que, se o funcionário ainda estiver na mesma organização, sua senha poderá seguir o mesmo padrão.

De certo modo é até contraditório dizer que alguns riscos podem ser mitigados com uma política de troca de senhas e, em seguida, apontar que o melhor conselho é não ter essa política.

Porém, é altamente recomendado que haja, sim, uma Política de Troca de Senha, bem como a combinação da utilização de Autenticação de Multifator (MFA) e ambientes de logon únicos, que podem aliviar os riscos relacionados a reutilização de senhas, principalmente para as organizações.

Importância da Inteligência de Ameaças

Um dos pontos que podemos mencionar aqui, é a Threat Intelligence (Inteligência de Ameaças na tradução para o português) aplicado à Superfície de Ataque que visa identificar todos os locais nos quais um invasor pode obter acesso a um sistema ou rede corporativa com o enfoque de causar prejuízos para a organização.

A inteligência produzida por meio da análise de superfície poderá ser correlacionada para gerar um relatório significativo dos pontos mais críticos apresentados para a organização, sendo que envolve identificar, investigar, priorizar e mitigar o risco apresentado.

A ISH Tecnologia realiza a Análise de Superfície por meio da verificação de técnicas OSINT; Certificados; Tecnologias de Websites; Credenciais Vazadas; Vulnerabilidades; Metadados; Domínios DNSec; assim como dos ativos da organização, tanto conhecidos como desconhecidos, e os ativos de terceiros.

Tal ação é útil para as organizações, tendo em vista que é realizada do ponto de vista de atacantes externos como os IABs.

Após a análise, o relatório poderá apresentar, por exemplo, as principais vulnerabilidades, detalhes e como realizar a mitigação da vulnerabilidade identificada, bem como a identificação de Credenciais Vazadas de colaboradores, aplicando-se neste caso a alteração da senha imediata ou até mesmo aplicação da regra de troca periódica.

Logo, a organização obtendo o relatório de todo o ambiente externo do aspecto dos criminosos cibernético poderá realizar a análise e adoção de medidas para mitigar os riscos identificados.

GTI (Global Threat Intelligence)

Além da análise de superfície, a ISH Tecnologia, por meio do GTI (Global Threat Intelligence), apresenta para a organização as principais ameaças que estão sendo identificadas globalmente, focando em endereços de IP maliciosos, Indicadores de Comprometimento (IOCs), vulnerabilidades e outros dados que poderão ser úteis para a prevenção e combate de ameaças.

O GTI lista ainda endereços de IP, que são utilizados para investigações focando em rastrear, estudar e combater os agentes de ameaças, sendo que, de acordo com a imagem abaixo, nos últimos 90 dias foram realizados os reports de 122.938,388 endereços de IP prontamente compartilhados via MISP e e-mail, bem como a quantidade de 12.300 vulnerabilidades descobertas nos últimos 90 dias.

Por fim, além dos dados relacionados a endereços de IP, foi realizado o tratamento de 116.231,428 Indicadores de Comprometimento (IOC) do tipo hashes (md5, sha1, sha256 e outros) de artefatos maliciosos no período de 90 dias.

Portanto, a ISH Tecnologia por meio do GTI (Global Threat Intelligence) visa entregar os principais indicadores para as organizações auxiliando no combate a crimes cibernéticos.

Medidas de mitigações de ataques cibernéticos

Diante de todo o mencionado e devido à grande quantidade de ataques cibernéticos que as empresas/organizações enfrentam, é de grande valia a adoção de medidas técnicas visando a proteção da infraestrutura. Listamos abaixo algumas das principais medidas mitigadoras de seguranças:

• Aplicar a regra de senha forte em sua organização, requerendo a aplicação de senha maior que 14 caracteres, símbolos, letras, números, letras maiúsculas e minúsculas, bem como a aplicação da Troca Periódica de Senha.

• Habilitar o Múltiplo Fator de Autenticação (MFA) para todas as contas que possam ser utilizadas, tanto corporativas quanto privadas.

• Utilizar a proteção de perímetro de infraestrutura (rede) em sua organização, utilizando-se de SIEM, XDR/EDR, Firewalls, Endpoints e qualquer outra medida de segurança.

• Realizar corretamente o backup da sua empresa aplicando, se possível, a regra 3-2-1 e, por fim, realizando o teste do backup para garantia da sua integridade.

• Aplicar treinamentos de conscientização de segurança em sua empresa, focando principalmente nos usuários, demonstrando os riscos e medidas que podem ser adotadas para mitigá-los.

Vale ressaltar a importância de a empresa/organização buscar outras formas de proteção e aplicação de medidas de segurança, havendo atualmente diversas medidas e orientações para melhoria da Maturidade de Segurança.