Кибер-злоумышленники ищут не только недостатки программного обеспечения, слабые места в цепочке поставок и открытые RDP-соединения. Другим ключевым хакерам активов является идентификация, особенно данные учетной записи, которые дадут им доступ к другим внутренним системам.
Ранее в этом году CISA предупредила, что предполагаемые хакеры, поддерживаемые Кремлем, стоящие за атаками SolarWinds, были не только троянами, которые занимались обновлением программного обеспечения, но и подбирали пароли и вводили пароли в административные учетные записи для первоначального доступа.
Совсем недавно Microsoft наблюдала за новой иранской хакерской группой, использующей распыление паролей против критических объектов инфраструктуры Израиля и США, действующих в Персидском заливе.
СМОТРЕТЬ: Программы-вымогатели: промышленные услуги возглавляют список хитрости, но киберпреступники диверсифицируют
По оценкам Microsoft, более трети учетных записей компрометируются являются атаками с использованием распыления паролей, даже если вероятность успеха таких атак составляет 1% для учетных записей, если только организации не используют «парольную защиту» Microsoft, чтобы избежать неверных паролей.
«Вместо того, чтобы пробовать множество паролей против одного пользователя они пытаются преодолеть блокировку и обнаружение, пытаясь много пользователей против одного пароля », — объяснила Microsoft в прошлом году. Такой подход помогает избежать ограничения скорости, когда слишком много неудачных попыток ввода пароля приводит к блокировке.
Группа обнаружения и реагирования Microsoft (DART) обрисовала в общих чертах два основных метода распыления паролей, первый из которых она называет «медленным и низким». Здесь решительный злоумышленник развертывает изощренный спрей паролей, используя «несколько отдельных IP-адресов для одновременной атаки нескольких учетных записей с ограниченным количеством тщательно подобранных паролей».
Другой метод, «доступность и повторное использование», использует ранее скомпрометированные учетные данные, которые публикуются и продаются в темной сети. «Злоумышленники могут использовать эту тактику, также называемую« заполнением учетных данных », чтобы легко получить доступ, поскольку она полагается на людей, повторно использующих пароли и имена пользователей на разных сайтах», — объясняет Microsoft.
Устаревшие и незащищенные протоколы аутентификации представляют собой проблему, поскольку они не могут обеспечить многофакторную аутентификацию. По словам DART, злоумышленники также сосредоточены на REST API. К основным целевым приложениям относятся Exchange ActiveSync, IMAP, POP3, проверка подлинности SMTP и автообнаружение Exchange.
«В последнее время в DART наблюдается рост количества учетных записей облачных администраторов, которые становятся объектами атак с использованием спрея паролей», — отмечает Microsoft.
Также следует проявлять особую осторожность при настройке элементов управления безопасностью для таких ролей, как администраторы безопасности, администраторы служб Exchange, глобальные администраторы, администраторы условного доступа, администраторы SharePoint, администраторы службы поддержки, администраторы выставления счетов, администраторы пользователей, администраторы аутентификации и Администраторы компании. По словам Microsoft, популярные личности, такие как руководители высшего уровня или определенные роли с доступом к конфиденциальным данным, также являются популярными целями.
На этой неделе Microsoft предупредила, что хакеры SolarWinds, также известные как Nobelium, использовали атаки с использованием паролей на новые цели, в первую очередь против поставщиков управляемых услуг, которым был делегирован административный доступ со стороны вышестоящих клиентов.
SEE: Программа-вымогатель: поиск слабых мест в вашей собственной сети является ключом к остановке атак
Microsoft обнаружила, что Nobelium «нацелен на привилегированные учетные записи поставщиков услуг для горизонтального перемещения в облачных средах, используя доверительные отношения, чтобы получить доступ к клиентам, находящимся ниже по потоку, и обеспечить дальнейшие атаки или доступ к целевым системам ».
Атаки не являются результатом уязвимости системы безопасности продукта, подчеркнула Microsoft, "а скорее продолжением … динамического инструментария Nobelium, который включает сложные вредоносные программы, спрей паролей, атаки на цепочки поставок, кражу токенов, злоупотребление API и целевой фишинг для взлома учетных записей пользователей и использования доступа к этим учетным записям ».
DART предлагает несколько полезных советов, которые помогут сформировать ход расследования, например, определить, была ли спрей-атака успешной хотя бы для одной учетной записи, какие пользователи были затронуты и были ли скомпрометированы учетные записи администраторов.
