Estudio encuentra 15 mil millones de credenciales robadas y expuestas …



Los datos están alimentando los ataques de adquisición de cuentas a lo grande, dice Digital Shadows.

Los ciberdelincuentes que buscan secuestrar cuentas en línea pertenecientes a consumidores y organizaciones tienen un suministro casi ilimitado de credenciales robadas y expuestas que pueden usar para intentar facilitar la adquisición.

Una nueva investigación realizada por Digital Shadows descubrió la impresionante cantidad de 15 mil millones de credenciales que circulan en Dim Net y en mercados subterráneos. Las credenciales comprometidas de más de 100,000 incumplimientos en los últimos años se asociaron con una amplia gama de cuentas, incluidas cuentas de administrador de dominio, cuentas bancarias y financieras, y cuentas de redes sociales y servicio de transmisión de video.

Los precios en los mercados criminales de estas credenciales oscilaron entre un promedio de $ 3,139 para cuentas de administrador de dominio a $ 70,91 para cuentas bancarias, $ 21,67 para acceso a cuentas para programas antivirus y menos de $ 10 para credenciales para sitios para adultos. Los nombres de usuario y contraseñas para cuentas de videojuegos y sitios para compartir archivos estaban disponibles por menos de $ 2 por pop.

Las credenciales para cuentas de alto valor, como las cuentas bancarias que tienen una cierta cantidad de fondos o cuentas con acceso privilegiado a grandes redes y sistemas empresariales, tienden a alcanzar precios mucho más altos. Los investigadores de Digital Shadows se encontraron con docenas de anuncios en foros clandestinos para que las cuentas de administrador se subasten a los postores a precios que oscilan entre $ 500 y $ 120,000. Muchas de estas credenciales high quality tenían nombres de usuario, como «factura», «facturas», «pagos» y «socios», que sugerían que estaban asociados con cuentas financieras.

«El costo de las cuentas puede variar en su calidad», dice Kacey Clark, investigadora de amenazas en Electronic Shadows. «Las credenciales activas y verificadas para una cuenta bancaria probada y comprobada que incluya la información particular de la víctima serán más caras que un paquete masivo de cuentas de transmisión que pueden o no estar activas».

En normal, 25% de los anuncios de credenciales robadas y filtradas que los investigadores de Electronic Shadows encontraron fueron para cuentas bancarias y otras cuentas financieras. Otras categorías populares, basadas en la cantidad de anuncios para ellos, incluyeron cuentas de transmisión, cuentas proxy / VPN y cable.

«Una de las principales conclusiones de este informe (es) la magnitud de la adquisición de cuentas en el panorama cibercriminal», dice Clark. «Los ciberdelincuentes atacan las obvias minas de oro de las cuentas financieras o internas de la empresa, pero también ven valor en cosas como las cuentas de streaming o antivirus».

El robo de credenciales en línea se ha convertido en un problema importante para los consumidores y las empresas en los últimos años. Los delincuentes han empleado una variedad de tácticas que incluyen botnets de phishing, relleno de credenciales y técnicas de fuerza bruta para recolectar credenciales en cuentas en línea. Luego vendieron o utilizaron las credenciales robadas para llevar a cabo una variedad de actividades maliciosas, desde iniciar transferencias electrónicas fraudulentas desde cuentas comerciales hasta obtener acceso gratuito a servicios de transmisión y juegos.

Mega infracciones, mega problemas
Los últimos años han sido testigos de numerosas mega infracciones en las que se han visto comprometidas decenas e incluso cientos de millones de credenciales pertenecientes a usuarios de World-wide-web. Entre los más notables se encontraba uno con Yahoo, donde se expusieron entre 500 millones y 3 mil millones de registros, y uno en Facebook el año pasado, con más de 260 millones de registros.

La amenaza de estas infracciones se ha exacerbado por la tendencia entre un alto porcentaje de usuarios de World-wide-web a usar las mismas contraseñas, y a menudo fáciles de adivinar, en varias cuentas. Las herramientas como Sentry MBA y OpenBullet también han facilitado que los ciberdelincuentes prueben rápidamente millones de preguntas de nombre de usuario y contraseña para ver si hay coincidencias, dice Clark. Por lo tanto, los atacantes pueden usar las credenciales obtenidas de una infracción para intentar abrir otras cuentas.

La investigación de Digital Shadows encontró que el número de credenciales comprometidas disponibles para los ciberdelincuentes a través de foros criminales y mercados aumentó un 300% desde 2018. El vendedor estimó que de los 15 mil millones de credenciales que actualmente flotan, unos 5 mil millones son únicos, lo que significa que se han anunciado solo una vez en foros criminales.

Una tendencia que observó Digital Shadows fue un aumento continuo en el número de mercados que alquilan acceso a cuentas comprometidas para delincuentes que no están interesados ​​en comprar o cosechar sus propias credenciales. El proveedor de seguridad identificó por primera vez la práctica en 2018.

«La adquisición de cuenta como servicio (ATaaS) puede reducir significativamente la barrera de entrada para los ciberdelincuentes», dice Clark. Al igual que el phishing y el malware como servicio, ATaaS ofrece a los cibercriminales la posibilidad de alquilar una identidad electronic para acceder a cuentas específicas. «La identidad puede incluir datos de huellas digitales, incluidas cookies, direcciones IP, credenciales y zonas horarias», dice ella.

Los mercados delictivos, que llevan nombres como Genesis Sector, UnderWorld Market place y Tenebris, ofrecen a los delincuentes la opción de alquilar el acceso a diferentes tipos de cuenta, incluido el comercio electrónico, la transmisión y las redes sociales, a veces a precios tan bajos como $ 10 por un precio específico. período.

«Estos servicios realizan las operaciones de adquisición de cuentas utilizando una multitud de tácticas» y luego alquilan el acceso a la cuenta comprometida, señala Clark. El modelo ATaaS es tan common que los atacantes en formas subterráneas a menudo están desesperados por conseguir invitaciones a estos mercados, dice Digital Shadows.

Las organizaciones pueden tomar múltiples medidas para mitigar su exposición a los ataques de adquisición de cuentas. Entre ellos está la necesidad de controlar las credenciales de los empleados filtradas a través de sitios como «HaveIBeenPwned» y las menciones de la organización o marca en los foros de delincuentes, Electronic Shadows. También es una buena concept monitorear los repositorios de código y las credenciales de clientes filtradas del proveedor.

Además, se recomienda implementar requisitos para contraseñas seguras, dice Clark. «Agregar una capa de seguridad con autenticación multifactorial puede reducir significativamente la probabilidad de que los delincuentes cibernéticos abusen de su cuenta», dice.

Contenido relacionado:

Jai Vijayan es un experimentado reportero de tecnología con más de 20 años de experiencia en periodismo comercial de TI. Recientemente fue editor sénior en Computerworld, donde cubrió temas de seguridad de la información y privacidad de datos para la publicación. En el transcurso de sus 20 años … Ver biografía completa

Lectura recomendada:

Más strategies





Enlace a la noticia original