Lectura oscura | Seguridad | Proteja el negocio



Los atacantes de 44 países utilizaron portales en la nube similares para recopilar las credenciales de los usuarios, verificaron la mayoría de la combinación de nombre de usuario y contraseña en horas y los utilizaron para enviar cargas útiles maliciosas y spam a otros usuarios de Online y para realizar transacciones comerciales de correo electrónico (BEC). afirma la firma de seguridad de correo electrónico Agari en un nuevo informe.

El informe resume un estudio de seis meses realizado por investigadores de Agari, quienes crearon un sistema automatizado para crear 8.000 cuentas de correo electrónico y enviarlas a sitios de phishing después de que se descubrieron esos sitios. La mayoría de los sitios de phishing imitaban una cuenta de Microsoft o un servicio específico de Microsoft, pero una cantidad significativa de sitios (el 26%) se disfrazaron como el inicio de sesión de Adobe Document Cloud.

Los atacantes tampoco dieron a los defensores mucho tiempo para reaccionar ante un compromiso de credenciales, dice Crane Hasson, director senior de investigación de amenazas en Agari. La mitad de todas las credenciales se verificaron en 12 horas y casi todas las credenciales de correo electrónico (91%) se verificaron en una semana.

«Debido a que existe una economía en línea tan grande para las cuentas comprometidas, muchas personas tienen la percepción de que estas cuentas permanecen inactivas durante un período de tiempo antes de venderse», dice. «Nuestra investigación muestra que este no es el caso».

Con más empresas trasladando la infraestructura a la nube, las credenciales se han convertido en la moneda del ámbito digital. En 2020, los atacantes inundaron los sitios net con ataques de relleno de credenciales, utilizando nombres de usuario, direcciones de correo electrónico y contraseñas robados contra una variedad de sitios, con la empresa de infraestructura de World wide web Akamai. ver más de 193 mil millones de intentos fallidos por parte de atacantes de acceder a sitios.

La Informe «Anatomía de una cuenta comprometida» de Agari mira los detalles del problema. Primero, creó cuentas falsas y luego envió las credenciales de acceso a la cuenta a un sitio de phishing conocido. La compañía, que fue comprada por HelpSystems en mayo, luego rastreó cómo los atacantes usaban los servicios comprometidos.

En un caso, los atacantes utilizaron la dirección de correo electrónico para enviar más de 12,000 mensajes en un período de dos horas a empleados de compañías de títulos de propiedad inmobiliaria, que manejan pagos y arreglos de hipotecas, con un enlace malicioso que los envía a un sitio que intenta hacer phishing en sus credenciales. Otro propietario de un sitio de phishing usó un kit de un desarrollador de malware ruso que verificó automáticamente las cuentas y luego reenvió la credencial al cliente, mientras guardaba una copia para ellos.

«Nuestro informe realmente muestra las múltiples formas en que los ciberdelincuentes explotan las cuentas comprometidas», dice Hasson. «Estas cuentas no se (utilizaron) sólo de una o dos formas. Como una navaja suiza, las cuentas comprometidas se utilizaron para facilitar una variedad de diferentes actividades maliciosas».

Si bien los días de la estafa del príncipe nigeriano han pasado, el país representó casi la mitad (47%) de todo el uso de credenciales comprometidas, seguido de Estados Unidos con el 19% y Sudáfrica y los Emiratos Árabes Unidos empatados con un 6% cada uno. . La mayoría de los actores accedieron a las cuentas usando un proxy, pero Agari pudo detectar la ubicación true de un actor en el 41% de los casos, dice Hasson.

«Si bien estos actores son los que usan las credenciales, no son necesariamente los mismos actores que defendieron el sitio de phishing», dice. «Sabemos que hay una economía sólida para las credenciales comprometidas, por lo que es probable que a una parte de estos actores se les haya proporcionado acceso a las cuentas de otro actor».

La mayoría de las veces, las credenciales se utilizaron para enviar enlaces maliciosos para recopilar credenciales de industrias específicas, incluidas las inmobiliarias y bancarias. En muchos casos, un atacante se hizo pasar por un proveedor y envió facturas ficticias en un intento de cobrar. En otros casos, el estafador envió una supuesta lista de precios a las empresas chinas que instalarían el malware de robo de información Agent Tesla, dice Agari.

La firma de seguridad planea mejorar sus métodos de investigación. Durante el estudio, la compañía no llenó las cuentas con correos electrónicos que pudieran haber incitado a los atacantes a tomar medidas y revelar más sobre sí mismos. Es possible que las cuentas de correo electrónico en blanco levanten sospechas entre algunos atacantes, dice Hasson. Explica: «Debido a que nuestros buzones de correo personales no contenían correos electrónicos reales, este es realmente el trabajo que esperamos hacer en la segunda fase de nuestra investigación, es possible que algunos de los atacantes hayan abandonado las cuentas».



Enlace a la noticia first