Puntos de vista

La creciente amenaza: relleno de credenciales y adquisición de cuentas

Byron Acohido, 15 octubre 2019

La red oscura aprovecha al máximo el Big Data, software de alta velocidad y automatización

Un par de actividades maliciosas se han convertido en un sorprendente ejemplo de transformación digital, desafortunadamente en la red oscura.

El relleno de credenciales y las adquisiciones de cuentas, que aprovecha al máximo el Big Data, el software de alta velocidad y la automatización, inundaron Internet en oleadas masivas en 2018 y la primera mitad de 2019, según múltiples informes (sitio en inglés). 

El relleno de credenciales es una de las hazañas cibercriminales más simples , un favorito entre los piratas informáticos . Con esta técnica, el criminal recopila sus credenciales filtradas (generalmente robadas en una violación de datos) y luego las aplica a una gran cantidad de otras cuentas, con la esperanza de que desbloqueen más. Si eres como la mayoría de los usuarios, reutilizas las credenciales. Los hackers cuentan con eso.

Una nueva generación de programas de software de relleno de credenciales permite a las personas con poco o ningún conocimiento informático verificar las credenciales de inicio de sesión de millones de usuarios con cientos de sitios web y servicios en línea como Netflix y Spotify en cuestión de minutos. El nivel de sofisticación de estas amenazas cibernéticas está aumentando, y existe un ominoso consenso en la comunidad de seguridad cibernética que dice que lo peor está por venir.

“Hemos observado un crecimiento significativo en el relleno de credenciales y las adquisiciones de cuentas durante varios años. Es difícil ver un cambio a corto plazo que frene los intentos de los atacantes ”, me dijo Patrick Sullivan, director senior de estrategia de seguridad de Akamai. "Se pueden requerir cambios significativos en los modelos de autenticación para alterar la trayectoria de crecimiento de estos ataques".

En términos de causar estragos, el relleno de credenciales y las adquisiciones de cuentas se están calentando. Aquí hay algunas cosas importantes que todos deberían entender sobre estas amenazas emergentes gemelas .

Nueva forma de comprar y vender 

A finales de 2014 y principios de 2015, las tiendas web oscuras (sitio en inglés) se incendiaron de repente. Las nuevas plataformas de comercio electrónico, inspiradas en los servicios comerciales de eBay y Amazon, comenzaron a ganar una gran tracción en el ciber underground. 

Casi de la noche a la mañana, las viejas formas de comercio de la red oscura, en las que compradores y vendedores negociaban y ejecutaban acuerdos entre pares, se volvieron obsoletas. Un informe de Futuro Registrado describe lo que se desarrolló: “Con el advenimiento de las tiendas automatizadas, se eliminó la necesidad de participación manual y el negocio de las cuentas comprometidas pasó completamente de las transacciones de igual a igual a una empresa mucho más democratizada y abierta a todos . ”En resumen, las nuevas tiendas web oscuras permitieron que se formaran modelos comerciales criminales. 

Un bot es un nódulo informático con una pequeña codificación que hace que obedezca las instrucciones de un servidor de comando y control. Una botnet es una red de miles y miles de bots bajo el control de un atacante.

Las botnets incluyeron el saqueo de datos personales de personas como Capital One, Marriott y Equifax. En años anteriores, las instituciones financieras, las empresas de atención médica, las compañías de medios, los gigantes tecnológicos y las agencias gubernamentales también revelaron importantes violaciones de datos ayudadas y apoyadas por botnets.

Gracias a las botnets, si alguna vez ha patrocinado alguna de las empresas pirateadas, sus datos personales, incluidos sus nombres de usuario y contraseñas favoritas , probablemente hayan sido robados varias veces. Rapid 7 estima (sitio en inglés) que hay más de 1.500 millones de pares de nombre de usuario y contraseña robados que circulan en la red obscura. 

Los actores de amenazas siempre están innovando nuevas formas de monetizar nombres de usuario y contraseñas robados. Entonces, cuando aparecieron los nuevos escaparates, la automatización y la ampliación de la distribución de las credenciales de la cuenta siguieron rápidamente.

Lo que surgió fue un ecosistema completo para apoyar la monetización de credenciales robadas. 

Nueva vida para botnets

Por supuesto, las botnets continúan siendo el motor que impulsa todo tipo de actividad criminal en línea. El auge de los escaparates de la red obscura, y la escalada de relleno de credenciales y adquisiciones de cuentas, les ha dado nueva vida. 

Muchas botnets se han reutilizado para concentrarse en inyectar inicios de sesión robados, adquiridos a granel en los nuevos escaparates, en sitios web específicos. Las botnets son perfectamente adecuadas para hacer esto sin parar, 24x7, hasta que se encuentre una coincidencia y se obtenga acceso no autorizado.

En 2018, Akamai observó un promedio de más de 100 millones de intentos de inicio de sesión falsos todos los días, incluidos tres días pico donde los intentos de relleno de credenciales superaron los 250 millones, unos 30 mil millones en total durante el año. Los ataques se dirigieron a una variedad de sectores, desde medios y entretenimiento hasta minoristas y juegos. 

Sullivan de Akamai señala que tres conductores convergentes están detrás de la intensificación del relleno de credenciales y las adquisiciones de cuentas.

Primero, señaló, a los consumidores les gusta reutilizar los nombres de usuario y las contraseñas en varios sitios. En segundo lugar, cientos de millones de inicios de sesión robados, incluidos los más antiguos robados en infracciones hace años, siguen estando disponibles y aún pueden tener un valor criminal. Finalmente, hoy se requieren conocimientos técnicos mínimos para obtener y usar herramientas y servicios de relleno de credenciales de bajo costo, incluida la infraestructura comercial. 

"Al igual que gran parte del ecosistema criminal, así como los negocios legítimos, existe evidencia de especialización", dice Sullivan. 

Herramientas de ataque ágiles

Se dice que la transformación digital tiene que ver con el rápido desarrollo de un software ágil y de alta funcionalidad, una descripción que se ajusta al relleno de credenciales y al software de toma de cuenta. Por ejemplo, una herramienta de cracking muy popular llamada STORM se distribuye gratuitamente en varios foros. Es una herramienta de relleno de credenciales que también detecta y desactiva cualquier mecanismo antimalware que el propietario del sitio web pueda tener implementado. Otra herramienta popular todo en uno, llamada SNIPR, hace que sea un juego de niños apuntar una campaña de relleno de credenciales contra redes de juegos y servicios de transmisión de video. Otro más, Sentry MBA, está diseñado para vencer los desafíos de Captcha, así como para sortear la autenticación de dos factores.

Para algunos ataques, los actores de amenazas usan una táctica atenuada, llamada "rociado de contraseña" . Para evitar desencadenar límites duros en el número de intentos de inicio de sesión, los atacantes dirigen un número comparativamente bajo de intentos de inicio de sesión en el servidor objetivo, metódicamente combinando nombres de usuario conocidos de la compañía con contraseñas débiles, en ráfagas de spray, hasta que coincidan. 

Ejemplos de ataques a empresas.

La firma de software con sede en Florida Citrix (sitio en inglés) perdió documentos comerciales confidenciales en tal truco. Citrix no sabía que su servidor había sido violado hasta que lo notificó el FBI, que no reveló cómo se enteró del ataque.

HSBC reveló públicamente que era el objetivo de un importante ataque de relleno de credenciales, que lo obligó a suspender las cuentas en línea de un número no revelado de clientes bancarios. La empresa francesa de alojamiento de videos DailyMotion tuvo que cerrar su sitio web temporalmente debido a un ataque masivo de relleno de credenciales. Los usuarios del sitio web para compartir noticias Reddit se encontraron bloqueados de sus cuentas mientras los hackers robaban sus datos. Y la cadena Dunkin Donuts fue sacudida por dos importantes ataques de relleno de credenciales en tres meses.

Víctimas conformes

Ha habido muchos otros hacks de relleno de credenciales revelados. Un vistazo a la naturaleza dinámica de tales ataques proviene del informe de Akamai. A principios de febrero, unos 620 millones de nombres de usuario, contraseñas y otros registros, robados de 16 organizaciones, salieron a la venta en la red obscura. 

Desde la perspectiva de los atacantes, la inversión de recursos es nominal y el riesgo de ser atrapado es mínimo. Mientras tanto, el dinero que se gana es amplio porque las víctimas no están protegidas.

Según el Informe de investigaciones de violación de datos de Verizon, más del 70% de los empleados reutilizan las contraseñas en el trabajo , incluso cuando alrededor del 81% de las infracciones relacionadas con la piratería se debieron a una contraseña robada o débil. La investigación realizada por Digital Shadows, mientras tanto, encuentra que una contraseña puede descifrar docenas de cuentas propiedad de la misma persona.

Sin embargo, solo requiere una pequeña participación en efectivo para cualquier persona con intención criminal de ingresar al negocio de relleno de credenciales. Las potentes herramientas todo en uno, como STORM y SentryMBA, son gratuitas. Comprar un gran conjunto de datos de credenciales robadas y arrendar una botnet para ejecutar una campaña de relleno puede costar desde menos de $ 1,000 hasta unos pocos miles de dólares, dependiendo de qué tan extenso sea el ataque que quieras patrocinar. 

Por ejemplo, todos los datos, herramientas y servicios necesarios para inyectar 3.8 millones de inicios de sesión en sitios web específicos pueden ser adquiridos por cualquiera por $ 2,999, según Digital Shadows. Y un ataque comparativamente a pequeña escala que prueba 100,000 inicios de sesión en el transcurso de una semana puede ser lanzado por cualquiera por $ 550, según Recorded Future.

El informe de Future grabado extrapola una tasa de éxito conservadora del 2.5% de los intentos de relleno utilizando los 100.000 inicios de sesión que realmente abren cuentas en vivo en sitios web como Amazon, PayPal, eBay, Expedia, Airbnb y FedEx. El pago bruto sería de $ 19,000.

Lo que nos espera

Eso es solo a nivel del suelo. Para hacer que este ecosistema funcione, alguien le está pagando al creyente de la planta baja entre 50 centavos y $ 3 por un inicio de sesión validado. Estos actores de amenazas de siguiente nivel son los que realmente están utilizando los inicios de sesión validados para hacerse cargo de las cuentas. 

Por el momento, según Akamai, los inicios de sesión válidos para sitios web de banca, venta minorista, juegos y entretenimiento de medios tienen una gran demanda. Las adquisiciones de cuentas proporcionan la base para cometer varios tipos de fraude de cuentas, al tiempo que le dan al atacante la posibilidad de piratear más profundamente el sitio web.

También hay otro nuevo tipo de actividad maliciosa habilitada por las adquisiciones de cuentas. Implica manipular la lógica empresarial de las aplicaciones orientadas al cliente. Las aerolíneas, por ejemplo, están en una batalla continua contra una variante de este tipo de adquisición de cuenta, llamada " giro de asiento " . Aquí es donde el atacante, conectado como un cliente válido, pone un boleto en espera en un carrito de compras como si comprándolo, pero no lo hace hasta que vende ese boleto a un precio más alto a través de otro servicio. 

Una forma de ahogar el relleno de credenciales y las adquisiciones de cuentas sería que las personas mejoren sus hábitos de seguridad de contraseña y que las empresas reemplacen las contraseñas por completo, con una forma sólida de verificación de identidad. Pero eso no es probable que suceda de inmediato. Hablaremos pronto