Con un poco de manifiesto a mediados de 2023, el robo de credenciales sigue siendo una gran espina en el costado de los equipos de TI. El meollo del problema es el valor de los datos para los ciberdelincuentes y la evolución de las técnicas que utilizan para apoderarse de ellos. El Informe de investigaciones de violación de datos de Verizon (DBIR) de 2023 reveló que el 83% de las violaciones involucraron a actores externos, y casi todos los ataques tuvieron una motivación financiera. De estas infracciones por parte de actores externos, el 49 % involucró el uso de credenciales robadas.
Exploraremos por qué el robo de credenciales sigue siendo una ruta de ataque tan atractiva (y exitosa), y veremos cómo los equipos de seguridad de TI pueden defenderse en la segunda mitad de 2023 y más allá.
Los usuarios siguen siendo a menudo el eslabón débil
Las características de muchos ciberataques exitosos son la determinación, la inventiva y la paciencia que muestran los actores de amenazas. Aunque un usuario puede detectar algunos ataques a través de la capacitación en seguridad y concientización, solo se necesita un ataque bien diseñado para atraparlos. A veces, todo lo que se necesita es que un usuario esté apurado o estresado. Los actores de amenazas crean páginas de inicio de sesión falsas, facturas falsificadas (como en los ataques de compromiso de correo electrónico comercial ) y redirigen los intercambios de correo electrónico para engañar al usuario final para que renuncie a sus credenciales o fondos.
DBIR de Verizon señaló que el 74% de las infracciones incluyen el elemento humano, ya sea por error humano, uso indebido de privilegios, ingeniería social o credenciales robadas. Un punto de datos interesante fue que el 50% de todos los ataques de ingeniería social en 2022 utilizaron una técnica llamada «pretexto», un escenario inventado que engaña a un usuario para que renuncie a sus credenciales o realice otra acción beneficiosa para el atacante. Esto demuestra que los atacantes saben que los usuarios suelen ser el eslabón débil y están comprometidos a utilizar la ingeniería social para conseguir las credenciales. A menudo, es una ruta más fácil hacia una organización que piratear un elemento técnico de un sistema de TI.
Violación de un sistema a través de credenciales robadas
Las grandes organizaciones con grandes presupuestos de seguridad no son inmunes a los ciberataques, incluso aquellas que trabajan en la industria de la ciberseguridad. Norton Lifelock Password Manager ofrece un estudio de caso reciente sobre los extremos que los atacantes deben recorrer para obtener contraseñas. Como señaló el fiscal general del estado de Maine , Norton notificó a casi 6500 clientes a principios de 2023 que sus datos podrían haberse visto comprometidos. A través de un ataque de fuerza bruta utilizando credenciales robadas, los atacantes finalmente encontraron contraseñas que funcionaban y procedieron rápidamente a iniciar sesión en las cuentas de los clientes, accediendo potencialmente a los secretos de los clientes almacenados.
A pesar de que Norton IT alertó sobre un gran volumen de inicios de sesión fallidos y tomó medidas rápidas, los clientes de Norton Lifelock Password Manager aún estaban comprometidos. Esto subraya la amenaza que representan las credenciales robadas en los ataques. Independientemente de la solidez de la seguridad de una empresa, es difícil evitar que se reutilice una contraseña robada de otra organización menos protegida.
Como mostró el informe de Verizon, casi la mitad (49 %) de las infracciones del año pasado se debieron al robo de credenciales. Entonces, ¿dónde están comprando los atacantes estas credenciales violadas? ¿Y cómo puede saber si sus usuarios también tienen contraseñas comprometidas?
Encontrar secretos robados en mercados negros
Al igual que los mercados negros evolucionados de antaño, los mercados negros en línea que venden credenciales robadas son cada vez más comunes. Enormes conjuntos de datos que consisten en cientos de miles de credenciales robadas están disponibles para la venta a un costo mínimo al lado de la posible recompensa que podría tener un ataque exitoso de ransomware o BEC. Estas listas son especialmente valiosas para los atacantes no técnicos que carecen de las habilidades para piratear los sistemas de TI por sí mismos.
El reciente cierre de Genesis Market mostró cómo estos mercados están evolucionando. Al ofrecer «huellas dactilares digitales» a la venta, en lugar de solo un nombre de usuario y una contraseña comprometidos, las identidades actualizadas continuamente estaban disponibles para una suscripción. Más que un conjunto de credenciales robadas, estas huellas dactilares combinadas con un acceso VPN ubicado cerca permitieron a un atacante un acceso mucho mayor que el que pueden ofrecer las credenciales robadas por sí solas.
La naturaleza sombría y subterránea de estos mercados los hace difíciles de descubrir y eliminar. Uno puede ser erradicado con otro apareciendo pocos días después. Dado que el costo promedio de un ataque de compromiso de correo electrónico comercial asciende a $ 50,000 solo en 2023, la compra de credenciales robadas es aún más atractiva para los actores de amenazas.
Fuente y redacción: thehackernews.com
