Barracuda full logo

5 Maneiras como os cibercriminosos estão a usar IA: Roubo de acesso e credenciais

Tópicos:
16 mai. 2024
|
Christine Barry

Os atores de ameaça adotaram a inteligência artificial (AI) para phishing, deepfakes, geração de malware, localização de conteúdo, e mais. Esta semana, estamos a analisar como estão a usá-la para roubar credenciais e ganhar acesso a redes de alto valor.

As credenciais roubadas são uma mina de ouro para os cibercriminosos, especialmente se as credenciais forem conjuntos de nomes de utilizador e palavras-passe atuais e funcionais. Os atacantes utilizam estas credenciais para aceder a sistemas ou apropriar-se de contas, com um risco reduzido de ativar um alerta de ameaça. Uma vez que o atacante tenha acedido a um sistema, ele geralmente começa o reconhecimento da rede, a escalada de privilégios, a exfiltração de dados e outras tarefas que o posicionam para os passos seguintes. Dependendo do atacante e da vítima, o próximo passo pode ser o início de um ataque de ransomware ou o estabelecimento de uma ameaça persistente avançada (APT) como Volt Typhoon.

O tempo desde este acesso inicial ao sistema até à descoberta da ameaça é chamado de 'tempo de permanência.' É mais fácil para os atacantes prolongarem o seu tempo de permanência numa rede se conseguirem misturar-se com o tráfego normal da rede. Credenciais roubadas tornam isso muito mais fácil para eles.

Ataques baseados em palavra-passe

Ter conjuntos de credenciais funcionais não é a única maneira de um criminoso aceder a um sistema. Existem ataques que podem comprometer pontos de acesso remoto ou ‘adivinhar’ credenciais rapidamente até obterem uma combinação funcional. Os agentes de ameaças também gostam quando administradores de rede deixam credenciais predefinidas no lugar. Os tempos de permanência são frequentemente mais curtos quando o acesso inicial envolve ataques de força bruta, kits de exploração ou outros eventos ou padrões no sistema que estão fora do comportamento normal e esperado. Sistemas de segurança avançados irão identificar estes eventos e desencadear uma investigação. Um tempo de permanência mais curto geralmente significa menos dados roubados e menos danos à rede.

Credenciais roubadas e acesso não autorizado ao sistema são portas de entrada para ataques maiores, e os atores de ameaça estão a usar IA para tornar essas portas mais acessíveis. Já falámos sobre alguns desses ataques:

Phishing e engenharia social: A IA pode gerar e-mails de phishing que imitam a linguagem e o estilo de comunicações legítimas. Estes e-mails gerados por IA podem ser muito convincentes, especialmente quando personalizados ou baseados numa análise de dados recolhidos previamente. Estes ataques podem capturar credenciais ou enganar um utilizador autorizado a fornecer acesso ao atacante.

Deepfakes: Os agentes de ameaça usam IA para criar vídeos ou clips de áudio que imitam executivos ou outras figuras de confiança. Em 2019, um agente de ameaça usou um ataque de vishing (phishing por voz) para convencer um funcionário a transferir mais de $243,000 para um fornecedor falso. Em 2024, um grupo inteiro de funcionários bancários deepfake usou uma chamada Zoom para enganar um funcionário ao vivo a transferir $35 milhões para várias contas. Os agentes de ameaça frequentemente combinam e-mails de phishing gerados por IA e táticas de engenharia social com ataques deepfake.

Desenvolvimento de Malware: Atores de ameaças usam IA generativa (GenAI) para criar malware 'inteligente', que pode alterar o seu código para evitar a deteção por sistemas de segurança tradicionais. Isto torna mais desafiante para as equipas de segurança identificar e neutralizar ameaças. O Malware é frequentemente utilizado para roubar credenciais e outras informações de sistemas infetados.

Reconhecimento automatizado: A IA pode processar dados rapidamente, o que significa que os atores de ameaça podem encontrar alvos e vulnerabilidades rapidamente. Aqui estão alguns exemplos de como esses atacantes usam IA:

-- Análise e mapeamento de redes, identificação de hosts ativos, portas abertas, serviços em execução e topologias de rede.

-- Recolha de informações de fontes públicas como motores de busca, redes sociais e repositórios de código para inteligência de fontes abertas (OSINT). Os atacantes frequentemente utilizam esta informação para ataques de phishing e engenharia social.

-- A analisar repositórios de código, websites e aplicações para encontrar configurações incorretas e outras vulnerabilidades.

-- Implementação de chatbots de IA que automatizam ataques de engenharia social, como phishing ou pretexting.

Conjuntos de credenciais de alto valor

Os atacantes têm muitos usos para credenciais roubadas. Já mencionámos o valor de poder aceder a um sistema como um utilizador autorizado. Outro uso popular para conjuntos de credenciais é vendê-los em fóruns de cibercrime para que outros atores de ameaça os possam utilizar. Em 2023, uma empresa de investigação em redes sociais revelou que credenciais e outras informações de conta podem ser vendidas por $6 a $45 por conta.

 

 

Um relatório separado publicado mais tarde nesse ano revela que as credenciais de conta do PayPal têm significativamente mais valor do que uma conta de redes sociais, e-mail ou cartão de crédito. Os preços das credenciais do PayPal são principalmente determinados pelo saldo na conta. Este estudo encontrou que o preço médio de uma conta PayPal era de $196,50 para um saldo médio de conta de $2.133,61.

 

 

Um terceiro estudo em 2023 descobriu que conjuntos de credenciais para algumas contas de criptomoeda e processamento de pagamentos podem custar milhares de dólares.

 

 

As metodologias dos três estudos sobrepõem-se, mas não são idênticas. Provavelmente encontrará algumas diferenças nos números se olhar atentamente, mas estes exemplos mostram o valor das credenciais.

Os atacantes utilizam frequentemente credenciais roubadas numa violação para atacar outro serviço. Existem três métodos comuns para estes ataques, e a IA pode automatizar todos eles:

Preenchimento de Credenciais: Os agentes de ameaça utilizam os milhares de milhões de credenciais roubadas disponíveis na dark web para obter acesso a várias contas. Este é um dos tipos de ataques de palavras-passe mais prevalentes e é eficaz porque muitas pessoas usam os mesmos pares de nome de utilizador e palavra-passe para vários serviços.

Password spraying: Este ataque é uma tentativa automatizada de corresponder algumas palavras-passe comuns a muitos nomes de utilizador conhecidos. Os atores de ameaça consideram este ataque mais eficaz contra serviços na nuvem, pontos de acesso remoto e fornecedores de autenticação única.

Ataques de força bruta: Estes são processos automatizados de tentativa e erro que adivinham senhas usando todas as combinações de caracteres. Nenhuma informação de credencial conhecida é usada neste ataque, embora os ataques frequentemente utilizem nomes de utilizador e senhas padrão conhecidos e listas das senhas mais comuns.

Proteja-se

Defender-se a si e à sua empresa do roubo de credenciais potenciado por IA envolve uma combinação de políticas de segurança rigorosas, educação e sensibilização dos utilizadores, e a utilização de soluções de segurança avançadas.

Medida de Proteção

Descrição

Utilize passwords fortes e únicas

Utilize um gestor de palavras-passe para gerar e armazenar palavras-passe complexas e nunca use a mesma palavra-passe em várias contas.

Ativar autenticação multifator (MFA)

A MFA combina algo que sabe com algo que tem. Um conjunto de nome de utilizador e palavra-passe (algo que sabe) não é suficiente para iniciar sessão. Também necessita de um dispositivo ou token de hardware (algo que tem) para confirmar o seu pedido de início de sessão.

Monitorizar ataques de phishing

Verifique as fontes de email e tenha cuidado com emails que solicitam informações sensíveis ou incentivam a clicar num link.

Atualizar e corrigir sistemas

Análises de rede baseadas em IA procuram vulnerabilidades nas suas aplicações e dispositivos de rede. Mantenha o software atualizado e aplique correções de segurança o mais rápido possível.

Utilize ferramentas de segurança baseadas em IA

Utilize proteção abrangente de rede e endpoint com segurança alimentada por IA que pode detetar atividade incomum ou tráfego de rede inesperado.

Eduque-se a si e aos outros

Organize ou defenda campanhas de sensibilização sobre segurança que ensinem os funcionários a identificar e defender-se contra ameaças de e-mail, ataques baseados em IA, e engenharia social.

Monitorizar atividade da conta

Verifique regularmente as suas contas e configure alertas automáticos para o notificar de atividades invulgares.

Utilize ligações seguras

Evite enviar ou aceder a informações sensíveis através de redes públicas e certifique-se sempre de que está a utilizar comunicação encriptada (HTTPS).

Adote princípios de confiança zero

A confiança zero verifica continuamente a identidade e a fiabilidade de dispositivos e utilizadores. Mesmo quando atores de ameaça tenham roubado credenciais válidas, a confiança zero pode negar o login com base no tipo de dispositivo, hora do dia ou localização do utilizador.

Pode obter mais detalhes sobre ataques baseados em senhas no blogue de Emre, Proteção de senhas na era da IA.

Uma série de blogues nunca pode cobrir todas as formas como os criminosos usam a IA para atacar, mas esperamos que esta série de cinco partes lhe tenha dado algumas ideias sobre como se pode proteger dessas ameaças. Para mais informações sobre IA e cibersegurança, consulte o nosso eBook, Proteger o futuro: Um guia do CISO para o papel da IA na cibersegurança.

 

 

Christine Barry

Christine Barry, Contadora Sénior de Histórias de Cibersegurança e Gestora de Conteúdos na Barracuda. Antes de se juntar à Barracuda, Christine foi engenheira de campo e gestora de projetos para clientes K12 e SMB durante mais de 15 anos. Possui várias credenciais em tecnologia e gestão de projetos, uma Licenciatura em Artes e um Mestrado em Administração de Empresas. É graduada pela Universidade de Michigan.

Conecte-se com a Christine no LinkedIn aqui.

 

Junte-se à nossa comunidade no Reddit!

Artigos Relacionados:
The Dark Side of GenAI: Strategic implications for cyber defense
The Dark Side of GenAI: Strategic implications for cyber defense
 First signs of AI-enabled ransomware attacks emerge
First signs of AI-enabled ransomware attacks emerge
 Explorando a adoção de IA: Da curiosidade à clareza
Explorando a adoção de IA: Da curiosidade à clareza
 PoisonGPT: Armazenando IA para desinformação
PoisonGPT: Armazenando IA para desinformação
Pesquisar o blogue

O Relatório de Perspetivas sobre Ransomware 2025

Principais conclusões sobre a experiência e o impacto do ransomware nas organizações em todo o mundo

Obtenha o relatório

Subscreva o Blogue Barracuda.

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Segurança de Vulnerabilidades Geridas: Remediação mais rápida, menos riscos, conformidade mais fácil

Veja como pode ser fácil encontrar as vulnerabilidades que os cibercriminosos querem explorar

ASSISTA AO WEBINAR

Inscreva-se para receber destaques sobre ameaças, comentários do setor e muito mais.

Receba as últimas notícias, estudos e análises diretamente na sua caixa de correio eletrónico.