Quando lemos notícias sobre intrusões em redes corporativas ou acesso a contas de usuários em serviços on-line, o termo ataque de brute force costuma aparecer. Embora possa parecer que se trata de um tipo de ataque no qual criminosos utilizam diversos recursos sem se preocupar em otimizá-los ou em passar despercebidos, na verdade estamos nos referindo a uma metodologia bastante específica.
O que é um ataque de brute force?
Um ataque de brute force ocorre quando um cibercriminoso utiliza técnicas para testar combinações de senhas com o objetivo de descobrir dados de acesso de uma vítima e, assim, conseguir acessar uma conta ou sistema. Existem diferentes tipos de ataque de brute force como o credential stuffing, o ataque de dicionário e o ataque de brute force reversa (em inglês, reverse brute force attack). Esses ataques tendem a ser mais bem-sucedidos quando são utilizadas senhas fracas ou previsíveis.
Testando diversas senhas
O termo "brute force" relacionado a incidentes de cibersegurança está associado a tentativas de descobrir uma ou mais senhas. Os ataques podem estar vinculados ao acesso a serviços on-line ou a arquivos e mensagens criptografadas. De qualquer forma, o criminoso tenta várias combinações até encontrar a correta. Para isso, conta com o uso de software, hardware, bem como algoritmos e dicionários de palavras.
Quanto ao hardware utilizado, quanto maior for a potência, mais combinações por segundo poderão ser testadas, enquanto em termos de software, existem programas que são utilizados há muito tempo para aplicar brute force na descriptografia de senhas. Um software clássico seria o John the Ripper, que pode ser utilizado para tentar quebrar vários algoritmos de hash ou criptografia, como o DES SHA-1 e outros. Ferramentas que descobrem senhas para redes Wi-Fi como o Aircrack-ng também são amplamente utilizadas.
Existem diferentes tipos de ataques de brute force. Um deles é conhecido como “ataque de dicionário”, que consiste no uso de uma técnica pela qual o cibercriminoso tenta descobrir a senha testando todas as palavras possíveis que ele armazena em um dicionário. Essas palavras podem ser de todos os tipos e podem incluir nomes, lugares e outras combinações, muitas delas obtidas através de vazamentos de dados anteriores ou em casos em que os usuários usam senhas que são fáceis de lembrar.
Além disso, um cibercriminoso pode utilizar bancos de dados de e-mails e senhas para atingir seu objetivo, realizando o que é conhecido como "ataque de brute force reversa". Aproveitando os milhões de dados de acesso vazados ao longo do tempo, uma combinação de diferentes nomes de usuário e senhas é testada em diversos serviços on-line até encontrar uma combinação que permita o acesso.
Outro tipo de ataque de brute force é o que é conhecido como "credential stuffing". Embora seja semelhante à brute force reversa, a diferença é que, nesses casos, para acessar um sistema, o cibercriminoso usa combinações de nome de usuário/senha que estão em seu poder e que foram filtradas em alguma brecha de segurança, principalmente tendo em conta que muitos usuários geralmente reutilizam senhas em mais de uma conta, uma prática não recomendada.
Aumento dos ataques de brute force durante a pandemia
Uma das consequências da crise sanitária causada pela Covid-19 tem sido a implementação do trabalho remoto forçado em empresas em todo o mundo. Infelizmente, a maioria dessas empresas não tomou as medidas de segurança necessárias para se proteger de possíveis ataques de brute force e optou por permitir conexões remotas através dos computadores de seus funcionários.
Podemos verificar isso de diversas formas. Devido ao aumento considerável nas conexões por meio do Remote Desktop Protocol (RDP, na sigla em inglês) ou ao aumento no número de ataques que ocorrem desde o início do ano nesses servidores RDP expostos.
Através do ataque de brute force, os cibercriminosos tentam descobrir as credenciais usadas pelos usuários que estão trabalhando remotamente para acessar a rede corporativa. Depois que os criminosos conseguem acessar um dos computadores da rede interna, é muito provável que eles façam movimentos laterais até encontrar um sistema que contenha informações confidenciais que possam ser usadas em seu proveito. Em outros casos, os atacantes coletam combinações ativas e as comercializam.
Os ataques de brute force geralmente levam a ataques mais sérios que normalmente terminam com o roubo de informações confidenciais, a criptografia desses dados por um ransomware, solicitando um resgate para recuperar arquivos criptografados e, como uma tendência crescente, o vazamento das informações roubadas, caso a vítima não ceda à chantagem.
Nos últimos meses, vimos vários exemplos desse tipo de ataque que afetaram empresas em vários setores, desde saúde até educação, e até mesmo órgãos públicos. No entanto, é provável que qualquer empresa esteja na mira de cibercriminosos caso não adote as medidas de segurança necessárias.
Como evitar ser vítima de um ataque de brute force
Como vimos, os ataques de brute force estão aumentando e, para os cibercriminosos, eles são relativamente fáceis de executar. No entanto, é perfeitamente possível nos defender contra esse tipo de ataque se seguirmos boas práticas de segurança, como as que estão a seguir:
- Use senhas fortes e difíceis de adivinhar, caso um cibercriminoso tente diversas combinações ou use palavras retiradas de um dicionário;
- Implemente o duplo fator de autenticação sempre que possível para acessar todos os tipos de serviços on-line, profissionais ou pessoais;
- Verifique se o RDP é usado na sua empresa apenas se estiver conectado por meio de uma VPN corporativa e certifique-se de usar o NLA (Network Level Authentication);
- No caso de não usar o RDP em sua empresa, desative este protocolo e feche a porta 3389;
- Estabeleça permissões de acesso limitadas aos ativos importantes da empresa que se encontrem acessíveis a partir da rede corporativa;
- Mantenha cópias de segurança atualizadas de todos os ativos críticos da empresa.
Leia mais:
