Preguntas Frecuentes Contra Estafas: ¿Qué Son Los Ataques De Fuerza Bruta ?

Respuesta:

Según La Información Derivada De Las Investigaciones Del FBI , Los Ciberdelincuentes Malintencionados Utilizan Cada Vez Más Un Estilo De Ataque De Fuerza Bruta Conocido Como Rociado De Contraseñas Contra Organizaciones En Los Estados Unidos Y En El Extranjero.

En febrero de 2018, el Departamento de Justicia del Distrito Sur de Nueva York acusó a nueve ciudadanos iraníes, que estaban asociados con el Instituto Mabna, por delitos de intrusión informática relacionados con la actividad descrita en este informe. Las técnicas y la actividad descritas en este documento, si bien son características de los actores de Mabna, no se limitan únicamente al uso de este grupo.

El Departamento de Seguridad Nacional ( DHS ) y la Oficina Federal de Investigaciones (FBI) están publicando esta Alerta para brindar más información sobre esta actividad.

Descripción

En un ataque tradicional de fuerza bruta , un actor malicioso intenta obtener acceso no autorizado a una sola cuenta adivinando la contraseña. Esto puede resultar rápidamente en el bloqueo de una cuenta específica, ya que las políticas de bloqueo de cuenta comúnmente utilizadas permiten de tres a cinco intentos incorrectos durante un período de tiempo determinado. Durante un ataque de rociado de contraseñas (también conocido como el método “bajo y lento”), el actor malicioso intenta una sola contraseña contra muchas cuentas antes de pasar a intentar una segunda contraseña, y así sucesivamente. Esta técnica permite que el actor pase desapercibido al evitar bloqueos de cuenta rápidos o frecuentes.

Las campañas de difusión de contraseñas suelen tener como objetivo el inicio de sesión único (SSO) y las aplicaciones basadas en la nube que utilizan protocolos de autenticación federados. Un actor puede apuntar a este protocolo específico porque la autenticación federada puede ayudar a enmascarar el tráfico malicioso. Además, al apuntar a las aplicaciones de SSO, los actores maliciosos esperan maximizar el acceso a la propiedad intelectual durante un compromiso exitoso.

Las aplicaciones de correo electrónico también están dirigidas. En esos casos, los actores maliciosos tendrían la capacidad de utilizar la sincronización de la bandeja de entrada para:

  1. obtener acceso no autorizado al correo electrónico de la organización directamente desde la nube,
  2. posteriormente descargar el correo del usuario a los archivos de correo electrónico almacenados localmente,
  3. identificar la lista de direcciones de correo electrónico de toda la empresa, y/o
  4. implementa subrepticiamente reglas de bandeja de entrada para el reenvío de mensajes enviados y recibidos.

Detalles Técnicos

Las tácticas, técnicas y procedimientos tradicionales (TTP) para realizar los ataques de rociado de contraseñas son los siguientes:

  • Uso de tácticas de ingeniería social para realizar investigaciones en línea (es decir, búsqueda de Google, LinkedIn, etc.) para identificar organizaciones objetivo y cuentas de usuario específicas para el rociado inicial de contraseñas
  • Usando contraseñas fáciles de adivinar (p. ej., “Winter2018”, “Password123!”) y herramientas disponibles públicamente, ejecute un ataque de rociado de contraseñas contra cuentas específicas utilizando el SSO identificado o la aplicación basada en la web y el método de autenticación federado
  • Aprovechar el grupo inicial de cuentas comprometidas, descargar la Lista global de direcciones (GAL) del cliente de correo electrónico de un objetivo y realizar un rociado de contraseñas más grande contra cuentas legítimas
  • Usar el acceso comprometido, intentar expandirse lateralmente (por ejemplo, a través del Protocolo de escritorio remoto) dentro de la red y realizar una filtración masiva de datos utilizando herramientas del Protocolo de transferencia de archivos como FileZilla

Los indicadores de un ataque de rociado de contraseñas incluyen:

  • Un aumento masivo en los intentos de inicio de sesión contra el portal SSO empresarial o la aplicación basada en web;
    • Utilizando herramientas automatizadas, los actores malintencionados intentan miles de inicios de sesión, en rápida sucesión, contra múltiples cuentas de usuario en una empresa víctima, originándose desde una sola dirección IP y computadora (por ejemplo, una cadena de agente de usuario común).
    • Se ha visto que los ataques duran más de dos horas.
  • Inicios de sesión de empleados desde direcciones IP que se resuelven en ubicaciones que no coinciden con sus ubicaciones normales.

Entorno Típico De La Víctima

La gran mayoría de las víctimas conocidas del rociado de contraseñas comparten algunas de las siguientes características:

  • Use SSO o aplicaciones basadas en web con método de autenticación federado
  • Falta autenticación multifactor (MFA)
  • Permitir contraseñas fáciles de adivinar (p. ej., “Invierno2018”, “¡Contraseña123!”)
  • Use la sincronización de la bandeja de entrada, lo que permite que el correo electrónico se extraiga de entornos en la nube a dispositivos remotos
  • Permitir que el reenvío de correo electrónico se configure a nivel de usuario
  • Configuración de registro limitada que genera dificultades durante las investigaciones posteriores al evento

Impacto

Una intrusión exitosa en la red puede tener impactos severos, particularmente si el compromiso se vuelve público y se expone información confidencial. Los posibles impactos incluyen:

  • Pérdida temporal o permanente de información confidencial o de propiedad exclusiva;
  • Interrupción de las operaciones regulares;
  • Pérdidas financieras incurridas para restaurar sistemas y archivos; y
  • Daño potencial a la reputación de una organización.

Solución

Mitigaciones Recomendadas

Para ayudar a disuadir este estilo de ataque, se deben seguir los siguientes pasos:

  • Habilite MFA y revise la configuración de MFA para garantizar la cobertura en todos los protocolos activos de Internet.
  • Revise las políticas de contraseñas para asegurarse de que se alineen con las últimas pautas del NIST y disuada el uso de contraseñas fáciles de adivinar.
  • Revise la administración de contraseñas de la mesa de ayuda de TI relacionada con las contraseñas iniciales, restablecimientos de contraseñas para bloqueos de usuarios y cuentas compartidas. Es posible que los procedimientos de contraseña de la mesa de ayuda de TI no se alineen con la política de la empresa, lo que crea una brecha de seguridad explotable.
  • Muchas empresas ofrecen asistencia y herramientas adicionales que pueden ayudar a detectar y prevenir ataques de rociado de contraseñas, como el blog de Microsoft publicado el 5 de marzo de 2018.

Aviso De Informe

El FBI alienta a los destinatarios de este documento a reportar información sobre actividades sospechosas o delictivas a su oficina de campo local del FBI o al Cyber ​​Watch (CyWatch) del FBI las 24 horas del día, los 7 días de la semana. Los contactos de la oficina de campo se pueden identificar en www.fbi.gov/contact-us/field. Se puede contactar a CyWatch por teléfono al (855) 292-3937 o por correo electrónico a CyWatch@ic.fbi.gov. Cuando esté disponible, cada informe presentado debe incluir la fecha, la hora, la ubicación, el tipo de actividad, la cantidad de personas y el tipo de equipo utilizado para la actividad, el nombre de la empresa u organización que lo presenta y un punto de contacto designado. Las consultas de prensa deben dirigirse a la Oficina de Prensa nacional del FBI en npo@ic.fbi.gov o (202) 324-3691.