0
0
As descobertas de um relatório à prova de balas destacam o problema colocado pela má higiene da segurança, uma vez que os ataques automatizados continuam a ser uma ameaça à alta segurança para as empresas. A pesquisa realizada ao longo de 2021, mostrou que 70% da atividade total da web atualmente é tráfego de bots.
Com os atacantes implantando cada vez mais métodos automatizados de ataque, as credenciais padrão são as senhas mais comuns usadas por esses maus atores, agindo de fato como uma “chave esqueleto” para o acesso criminoso.
Credenciais padrão que fornecem um ponto de entrada para atacantes
A pesquisa revelou que os invasores estão usando consistentemente e ganhando acesso aos servidores, com as mesmas senhas regulares. Algumas delas são senhas padrão que não foram alteradas desde que entraram em uso pela empresa.
As principais tentativas de login fracassadas em servidores honeypot estavam usando as seguintes credenciais:
“Na lista estão as credenciais padrão do Raspberry Pi (un:pi/pwd:raspberry). Há mais de 200.000 máquinas na internet executando o Raspberry Pi OS padrão, tornando-se um alvo razoável para maus atores. Também podemos ver o que parece ser credenciais usadas em máquinas Linux (un:nproc/pwd:nproc). Isso destaca uma questão-chave – as credenciais padrão ainda não estão sendo alteradas”, disse Brian Wagner, CTO da Bulletproof.
“O uso de credenciais padrão fornece um dos pontos de entrada mais fáceis para atacantes, agindo como uma ‘chave esqueleto’ para vários hacks. O uso de credenciais legítimas pode permitir que os atacantes evitem a detecção e torna a investigação e monitoramento de ataques muito mais difíceis.”
Um quarto das senhas usadas pelos atacantes hoje se origina do vazamento do banco de dados RockYou de dezembro de 2009. Esse nível de atividade indica que essas senhas permanecem viáveis.
Principais senhas usadas como parte de ataques de força bruta:
Mais de 240 mil sessões
Ao longo da pesquisa, os maus atores iniciaram mais de 240.000 sessões. O endereço IP superior, que se conectou a partir de um servidor alemão, iniciou mais de 915 sessões e passou um total de cinco horas no honeypot à prova de balas. Outro invasor passou 15 horas no honeypot, fazendo login com sucesso 29 vezes com mais de 30 senhas exclusivas.
No total, 54% dos mais de 5.000 endereços IP exclusivos tinham informações que sugeriam que eram endereços IP de ator ruim.
“Dentro de milissegundos de um servidor sendo colocado na internet, ele já está sendo escaneado por todos os tipos de entidades. Os botnets estarão mirando e uma série de tráfego malicioso está sendo levado para o servidor”, continuou Wagner. “Embora alguns de nossos dados mostre empresas de pesquisa legítimas digitalizando a internet, a maior proporção de tráfego que encontramos em nosso honeypot veio de atores de ameaças e hosts comprometidos.”
“Esses insights, combinados com nossos dados, destacam a importância do monitoramento proativo para garantir que você esteja ciente das ameaças ao seu negócio diariamente, bem como um plano de resposta a incidentes testado e testado.”
FONTE: HELPNET SECURITY