Senha fraca e predefinida deixa clientes de LogicMonitor vulneráveis

Uma velha e conhecida falha no universo da Tecnologia da Informação (TI), o uso de senhas predefinidas (padrão), fez mais um grupo de vítimas no final de agosto: clientes da LogicMonitor, fornecedora de soluções de observabilidade de infraestruturas de TI.

Segundo o TechCrunch, um dos clientes afetados relatou que anteriormente, ao configurar uma conta na LogicMonitor, era definida uma senha fraca e padronizada para todas as contas de usuário da organização. Essas senhas não eram temporárias, pois não era exigida nenhuma alteração posterior. Agora a senha de configuração dura 30 dias e deve ser alterada no primeiro login.

O site TechCrunch também falou de um cliente que recebeu um e-mail da LogicMonitor abordando uma possível violação de login/senha de usuários que poderia fazer com que sistemas monitorados pela LogicMonitor sofressem ataques de ransomware. Uma fonte disse estar ciente de uma empresa que perdeu mais de 400 sistemas devido a um ataque de ransomware que explorou senhas fracas padronizadas.

Embora o LogicMonitor não tenha confirmado ataques de ransomware a clientes, fontes anônimas também disseram ao site BleepingComputer que hackers “invadiram contas e foram capazes de criar usuários locais e implantar ransomware”. As mesmas fontes explicaram que o ransomware foi implantado usando sensores do LogicMonitor Collector que monitoram a infraestruturas dos usuários, mas também possuem funções de script.

A LogicMonitor definiu o caso como “um incidente de segurança” que afetou um pequeno número de clientes e que já havia tomado medidas para mitigar os impactos.

Dias antes de o incidente vir à tona pela imprensa, a LogicMonitor divulgou em seu site que estava investigando anormalidades técnicas que poderiam estar afetando contas de clientes, pois um grupo de usuários localizados nas regiões leste e oeste dos Estados Unidos e na região oeste da União Europeia havia perdido acesso a seus portais. Posteriormente, informou que os portais de clientes afetados haviam sido restaurados e que estava trabalhando na restauração de dados de séries temporais.  Em um relato posterior, informou que o problema havia sido solucionado.

Técnica mais usada

Contas válidas são a técnica de ataque mais comum nos ciberataques, sendo responsáveis por 54% das tentativas bem-sucedidas, segundo pesquisa da CISA, agência de Infraestrutura e segurança cibernética dos Estados Unidos. Podem ser contas de administrador padrão ou de ex-funcionários não excluídas. Quando senhas predefinidas não são alteradas, agentes mal-intencionados podem instalar e executar código que bem entenderem. A figura abaixo demonstra o processo de execução de conta válida.

A CISA alerta que ter acesso à rede da organização é apenas o primeiro passo de um ataque bem-sucedido. Agentes mal-intencionados podem posteriormente por em prática outras técnicas, como aumento de privilégios, para roubar dados. Portanto, impedir o primeiro acesso deve ser o objetivo principal dos processos de proteção de ativos e dados nas redes.

Compartilhamento e reuso de senhas
Compartilhar senhas também tem sido um hábito comum entre os usuários da maioria das empresas. Isso, em parte, porque muitas equipes podem dispor de apenas uma ou duas licenças para um software ou serviço, cujas senhas precisas ser compartilhadas. Essa pode ser uma prática necessária, mas deve ser um compartilhamento seguro e criptografado, explica uma pesquisa da LastPass.

Além disso, a reutilização de senhas ainda é um problema generalizado. O relatório da LastPass mostra que, em média, uma senha é reutilizada 13 vezes, observando que reutilizar senhas não é tão ruim. A questão é que, quando uma senha utilizada em várias contas é roubada, o estrago pode se multiplicar.

E as senhas fracas?

Acredite ou não, 88% das senhas exploradas em ataques bem-sucedidos possuiam 12 caracteres ou menos e termos básicos como ‘senha’, ‘admin’, ‘bem-vindo’ e ‘p@ssw0rd’. Senhas com apenas letras minúsculas foram a combinação de caracteres mais encontrada, representando 18,8% das que foram utilizadas em ataques, segundo o relatório anual sobre senhas fracas da Specops Software que analisou mais de 800 milhões de senhas violadas.

Outro fato surpreendente vem do fato de que 83% das senhas comprometidas satisfaziam requisitos de comprimento e complexidade de padrões de cibersegurança, entre eles os da NIST, PCI, ICO para GDPR (normas para proteção de dados), HITRUST para HIPAA (dados de pacientes) e Cyber Essentials para NCSC.

“Isso mostra que, embora as organizações estejam se empenhando para seguir as melhores práticas e padrões, é preciso fazer mais para garantir que as senhas sejam fortes e únicas. Com a sofisticação dos ataques baseados em senhas, são necessárias medidas de segurança adicionais para proteger o acesso a dados confidenciais”, afirma Darren James, gerente de produtos da Specops Software.