28 de abril de 2024Sala de prensaRelleno de credenciales/violación de datos El proveedor de servicios de gestión de identidad y acceso (IAM) Okta advirtió sobre un aumento en la «frecuencia y escala» de los ataques de relleno de credenciales dirigidos a servicios en línea. Se dice que estos ataques sin precedentes, observados durante el último mes, se ven facilitados por «la amplia disponibilidad de servicios de proxy residencial, listas de credenciales previamente robadas (‘listas combinadas’) y herramientas de secuencias de comandos», dijo la compañía en una alerta publicada el sábado. . Los hallazgos se basan en un aviso reciente de Cisco, que advirtió sobre un aumento global de ataques de fuerza bruta dirigidos a varios dispositivos, incluidos servicios de red privada virtual (VPN), interfaces de autenticación de aplicaciones web y servicios SSH, desde al menos el 18 de marzo de 2024. «Todos estos ataques parecen originarse en nodos de salida TOR y una variedad de otros túneles y proxies anónimos», señaló Talos en ese momento, agregando que los objetivos de los ataques también incluyen dispositivos VPN de Cisco, Check Point, Fortinet y SonicWall. como enrutadores de Draytek, MikroTik y Ubiquiti. Okta dijo que su Investigación sobre amenazas de identidad detectó un aumento en la actividad de relleno de credenciales contra cuentas de usuarios del 19 al 26 de abril de 2024, probablemente desde una infraestructura similar. El relleno de credenciales es un tipo de ciberataque en el que las credenciales obtenidas a partir de una filtración de datos en un servicio se utilizan para intentar iniciar sesión en otro servicio no relacionado. Alternativamente, dichas credenciales podrían extraerse mediante ataques de phishing que redirigen a las víctimas a páginas de recolección de credenciales o mediante campañas de malware que instalan ladrones de información en los sistemas comprometidos. «Todos los ataques recientes que hemos observado comparten una característica en común: dependen de que las solicitudes sean enrutadas a través de servicios anónimos como TOR», dijo Okta. «Millones de solicitudes también fueron enrutadas a través de una variedad de servidores proxy residenciales, incluidos NSOCKS, Luminati y DataImpulse». Los proxies residenciales (RESIP) se refieren a redes de dispositivos de usuarios legítimos que se utilizan indebidamente para enrutar el tráfico en nombre de suscriptores de pago sin su conocimiento o consentimiento, lo que permite a los actores de amenazas ocultar su tráfico malicioso. Esto generalmente se logra instalando herramientas de proxyware en computadoras, teléfonos móviles o enrutadores, inscribiéndolos efectivamente en una botnet que luego se alquila a los clientes del servicio que desean anonimizar la fuente de su tráfico. «A veces, el dispositivo de un usuario está inscrito en una red proxy porque el usuario elige conscientemente descargar ‘proxyware’ en su dispositivo a cambio de un pago o algo más de valor», explicó Okta. «En otras ocasiones, el dispositivo de un usuario se infecta con malware sin su conocimiento y queda inscrito en lo que normalmente describiríamos como una botnet». El mes pasado, el equipo Satori Threat Intelligence de HUMAN reveló más de dos docenas de aplicaciones VPN maliciosas para Android que convierten dispositivos móviles en RESIP mediante un kit de desarrollo de software (SDK) integrado que incluía la funcionalidad de proxyware. «La suma neta de esta actividad es que la mayor parte del tráfico en estos ataques de relleno de credenciales parece originarse en los dispositivos móviles y navegadores de los usuarios cotidianos, en lugar del espacio IP de los proveedores de VPS», dijo Okta. Para mitigar el riesgo de apropiación de cuentas, la compañía recomienda que las organizaciones obliguen a los usuarios a cambiar a contraseñas seguras, habiliten la autenticación de dos factores (2FA), rechacen las solicitudes que se originen en ubicaciones donde no operan y direcciones IP con mala reputación, y agregue soporte para claves de acceso. ¿Encontró interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.