O roubo de credenciais tem se tornado uma prática muito comum entre os cibercriminosos. Os Códigos maliciosos como o Racoon e o RedLine, vendidos ou alugados por US $100 no submundo do cibercrime, são normalmente enviados por e-mail ou disseminados em publicações e comentários fraudulentos em redes sociais. Depois de executados, esses malwares capturam dados do navegador e do sistema, incluindo senhas e credenciais de acesso, e costumam desaparecer logo em seguida para não dar chance aos antivírus.
A Axur tem acompanhado de perto alguns operadores do RedLine. A atuação dos criminosos já expôs mais de 54 milhões de credenciais, só em 2022, e cada uma delas pode ser comercializada ou cedida a outros criminosos em troca de uma fatia dos lucros obtidos com ataques. Nos registros analisados, a companhia identificou que cerca de 30 mil dessas credenciais roubadas são de contas que administram a infraestrutura de sistemas em nuvem, o que pode colocar em risco todo o negócio das empresas impactadas.
Ao todo, são 193 mil empresas globais com credenciais expostas. A análise dos dados também encontrou centenas de menções às maiores empresas do Brasil, sendo que 630 credenciais estão ligadas a órgãos públicos com domínios gov.br e 67 ligadas a domínios militares como mil.br.
O roubo de credenciais é, de fato, uma peça-chave nas operações de grupos de invasores digitais. Não é raro que esse acesso inicial à rede da empresa possa ser estendido até se tornar um vazamento de dados ou um sequestro digital, o que cria uma demanda por ferramentas especializadas na captura de credenciais.
De acordo com Fábio Ramos, CEO da Axur, essa prática é muito usada pelo cibercrime, pois é a forma menos sofisticada de ataque, entretanto, é a mais efetiva. “O criminoso busca simplicidade no ataque e maior ganho. E o que percebemos ao analisar essa quantidade de credenciais expostas é que não tem a ver com senhas fortes ou fracas, mas sim com a perspicácia do malware usado, capturando logins e senhas direto de navegadores”, diz.
Segundo o executivo, o RedLine consegue coletar os dados de acesso não só de páginas na web, mas também de formulários preenchidos, VPNs, redes sociais e sistemas em nuvem. “Tivemos acesso a 1,9 terabytes de dados, inclusive com acessos privilegiados de contas que administram nuvens de grandes players de cloud, além de sistemas de CRM e gestão empresarial”, alerta Ramos. Ele acrescenta que esses dados de acesso podem estar sendo usados pelos criminosos, que tentam movimentos laterais nas redes corporativas, vasculhando ambientes críticos e identificando potenciais ataques.
De gasoduto a youtubers
Uma credencial válida na mão de hackers pode causar estragos. O sequestro digital que causou a paralisação do gasoduto Colonial Pipeline em maio de 2021, por exemplo, partiu de uma credencial comprometida. A análise do incidente levantou a hipótese de que um colaborador tenha “reciclado” sua senha corporativa em um site que foi vítima de vazamento, criando uma brecha na segurança da empresa.
A atividade de ladrões de credenciais, como o RedLine, dá um novo contorno para essa ameaça. A Axur alerta que colaboradores podem ser vítimas de um ladrão de senha em seu computador pessoal também, e o conjunto de dados extraído do sistema pode indicar a possibilidade de que uma das senhas é válida para acesso à rede da empresa. Essa revalidação de credenciais (a tentativa de usar uma credencial roubada em outros canais) é chamada de credential stuffing e amplia os alvos em potencial.
Profissionais independentes e criadores de conteúdo também precisam ficar de olho, reforça a Axur. O Google já alertou que ferramentas como o RedLine são utilizadas em campanhas de ataque direcionadas a youtubers. Os golpistas enviam uma suposta oferta de publicidade ou parceria com um link para o software, roubando a credencial de acesso para a conta proprietária do canal.
O uso de serviços como o MinhaSenha.com, que indica as senhas vazadas associadas a um endereço de e-mail, ajuda a prevenir ataques, mas o cuidado deve ser constante.
Um drible na verificação em duas etapas
De acordo com o levantamento a Axur, um ladrão de senha tradicional registra dados durante a transmissão ou digitação. O RedLine captura credenciais armazenadas, incluindo as sessões ainda ativas no navegador web. O invasor pode então configurar esse código de autorização diretamente no navegador dele e passar direto pelo login.
A verificação em duas etapas raramente protege contra esse cenário. Depois que um código de autorização é obtido pelo navegador do usuário legítimo, ele pode ser reutilizado nos próximos acessos. Se o código for extraído, a autorização também passa para o invasor. Como não é necessário acesso à senha única (os números recebidos por SMS ou gerados em um aplicativo), a autenticação multifator não entra em jogo.
Na visão da companhia que segue acompanhando esses casos, empresas que utilizam a nuvem pública em sua infraestrutura ou atuam no desenvolvimento de software precisam ter cuidado com as chaves de acesso. Isso porque os criminosos contornam a verificação em duas etapas, podendo vazar as credenciais em repositórios de códigos. Carteiras de criptomoedas correm o mesmo risco.
É possível reagir rápido e evitar o prejuízo
Para Fábio Ramos, a captura de credenciais para acessos indevidos não é algo novo. O que mudou é a disposição dos atacantes para explorar as possibilidades que cada uma dessas senhas oferece.
Outra novidade está na pluralidade de credenciais em uso. Seja uma autenticação multifator, a biometria, uma chave de nuvem pública, um certificado ou uma carteira digital, todas elas ainda funcionam de uma forma muito parecida com as senhas e, muito provavelmente, estão vulneráveis a roubo.
É fundamental enxergar esse risco e adotar as medidas corretas para evitar a exposição de todas essas credenciais. Mas amenizar o risco da exposição dessas credenciais passa pela existência de um monitoramento do ambiente e, no melhor cenário, de uma visão antecipada da atuação dos atacantes.
“Quem reage previamente pode evitar um ataque antes mesmo dele ser concretizado. É preciso ter mais visibilidade de todo ambiente, ampliar o monitoramento a fim de identificar movimentos suspeitos e usar o poder da biometria como mais um elemento de autenticação. Ainda vejo que falta cultura nas empresas em eliminar senhas, especialmente as fracas, para enfim adotar métodos mais eficazes de acesso seguro, sem fricção para usuários e clientes”, conclui o CEO.