Quando lemos notícias sobre intrusões em redes corporativas ou acesso a contas de usuários em qualquer serviço on-line, o termo ataque de força bruta, ou brute force, geralmente aparece. Embora possa parecer que estamos enfrentando um tipo de ataque no qual os criminosos utilizam diversos recursos para atingir seus objetivos sem se preocupar em otimizá-los ou tentar passar despercebidos, quando falamos de ataque de força bruta, nos referimos a uma metodologia muito específica.

O que é um ataque de força bruta?

Um ataque de força bruta ocorre quando o atacante usa determinadas técnicas para testar combinações de senhas com o objetivo de descobrir os dados de acesso de uma vítima e, assim, poder acessar a uma conta ou sistema. Existem diversos tipos de ataque de força bruta, como o “credential stuffing”, o ataque de dicionário e o ataque de força bruta reversa. Os ataques de força bruta geralmente são mais bem-sucedidos nos casos em que são usadas senhas fracas ou relativamente previsíveis.

Testando diversas senhas

O termo “força bruta” relacionado a incidentes de segurança digital está associado a tentativas de descobrir uma ou mais senhas. Os ataques podem estar vinculados ao acesso a serviços on-line ou a arquivos e mensagens criptografadas. De qualquer forma, o atacante tenta várias combinações até encontrar a correta. Para isso, conta com o uso de software, hardware, bem como algoritmos e dicionários de palavras.

Quanto ao hardware utilizado, quanto maior for a potência, mais combinações por segundo poderão ser testadas, enquanto em termos de software, existem programas que são utilizados há muito tempo para aplicar força bruta na descriptografia de senhas. Um software clássico seria o John the Ripper, que pode ser utilizado para tentar quebrar vários algoritmos de hash ou criptografia, como o DES SHA-1 e outros. Ferramentas que descobrem senhas para redes Wi-Fi como o Aircrack-ng também são amplamente utilizadas.

Existem diferentes tipos de ataques de força bruta. Um deles é conhecido como “ataque de dicionário”, que consiste no uso de uma técnica pela qual o atacante tenta descobrir a senha testando todas as palavras possíveis que ele armazena em um dicionário. Essas palavras podem ser de todos os tipos e podem incluir nomes, lugares e outras combinações, muitas delas obtidas através de vazamentos de dados anteriores ou em casos em que os usuários usam senhas que são fáceis de lembrar.

Além disso, um atacante pode utilizar bancos de dados de e-mails e senhas para atingir seu objetivo, realizando o que é conhecido como “ataque de força bruta reversa”. Aproveitando os milhões de dados de acesso vazados ao longo do tempo, uma combinação de diferentes nomes de usuário e senhas é testada em diversos serviços on-line até encontrar uma combinação que permita o acesso.

Outro tipo de ataque de força bruta é o que é conhecido como “credential stuffing”. Embora seja semelhante à força bruta reversa, a diferença é que, nesses casos, para acessar um sistema, o atacante usa combinações de nome de usuário/senha que estão em seu poder e que foram filtradas em alguma brecha de segurança, principalmente tendo em conta que muitos usuários geralmente reutilizam senhas em mais de uma conta – uma prática não recomendada.

Aumento dos ataques de força bruta durante a pandemia

Uma das consequências da crise sanitária causada pela Covid-19 tem sido a implementação do teletrabalho (Home Office) em empresas em todo o mundo. Infelizmente, a maioria dessas empresas não tomou as medidas de segurança necessárias para se proteger de possíveis ataques de força bruta e optou por permitir conexões remotas através dos computadores de seus funcionários.

Podemos verificar isso de diversas formas. Devido ao aumento considerável nas conexões por meio do Remote Desktop Protocol (RDP, na sigla em inglês) ou ao aumento no número de ataques que ocorrem desde o início do ano nesses servidores RDP expostos.

Através do ataque de força bruta, os atacantes tentam descobrir as credenciais usadas pelos usuários que estão trabalhando remotamente para acessar a rede corporativa. Depois que os cibercriminosos conseguem acessar um dos computadores da rede interna, é muito provável que eles façam movimentos laterais até encontrar um sistema que contenha informações confidenciais que possam ser usadas em seu proveito. Em outros casos, os atacantes coletam combinações ativas e as comercializam.

Os ataques de força bruta geralmente levam a ataques mais sérios que normalmente terminam com o roubo de informações confidenciais, a criptografia desses dados por um ransomware, solicitando um resgate para recuperar arquivos criptografados e, como uma tendência crescente, o vazamento das informações roubadas, caso a vítima não ceda à chantagem.

Nos últimos meses, vimos vários exemplos desse tipo de ataque que afetaram empresas em vários setores, desde saúde até educação, e até mesmo órgãos públicos. No entanto, é provável que qualquer empresa esteja na mira de cibercriminosos caso não adote as medidas de segurança necessárias.

Como evitar ser vítima de um ataque de força bruta

Como vimos, os ataques de força bruta estão aumentando e, para os atacantes, eles são relativamente fáceis de executar. No entanto, é perfeitamente possível nos defender contra esse tipo de ataque se seguirmos boas práticas de segurança, como essas a seguir:

• Use senhas fortes e difíceis de adivinhar, caso um atacante tente diversas combinações ou use palavras retiradas de um dicionário;
• Implemente o duplo fator de autenticação sempre que possível para acessar todos os tipos de serviços on-line, profissionais ou pessoais;
• Verifique se o RDP é usado na sua empresa apenas se estiver conectado por meio de uma VPN corporativa e certifique-se de usar o NLA (Network Level Authentication);
• No caso de não usar o RDP em sua empresa, desative este protocolo e feche a porta 3389;
• Estabeleça permissões de acesso limitadas aos ativos importantes da empresa que se encontrem acessíveis a partir da rede corporativa;
• Mantenha cópias de segurança atualizadas de todos os ativos críticos da empresa.