imágenes falsas
El servicio de autenticación Okta advierte sobre la “escala sin precedentes” de una campaña en curso que enruta solicitudes de inicio de sesión fraudulentas a través de los dispositivos móviles y navegadores de los usuarios cotidianos en un intento de ocultar el comportamiento malicioso.
Okta dijo que el ataque también utiliza otros medios para camuflar los intentos de inicio de sesión, incluida la red TOR y los llamados servicios proxy de proveedores como NSOCKS, Luminati y DataImpulse, que también pueden aprovechar los dispositivos de los usuarios sin su conocimiento. En algunos casos, los dispositivos móviles afectados ejecutan aplicaciones maliciosas. En otros casos, los usuarios han inscrito sus dispositivos en servicios proxy a cambio de diversos incentivos.
Luego, adversarios no identificados utilizan estos dispositivos en ataques de relleno de credenciales, que utilizan grandes listas de credenciales de inicio de sesión obtenidas de violaciones de datos anteriores en un intento de acceder a cuentas en línea. Debido a que las solicitudes provienen de direcciones IP y dispositivos con buena reputación, los dispositivos de seguridad de red no les brindan el mismo nivel de escrutinio que los inicios de sesión de servidores privados virtuales (VPS) que provienen de servicios de alojamiento que los actores de amenazas han utilizado durante años.
“La suma neta de esta actividad es que la mayor parte del tráfico en estos ataques de relleno de credenciales parece originarse en los dispositivos móviles y navegadores de los usuarios cotidianos, en lugar del espacio IP de los proveedores de VPS”, según un informe. consultivo
El aviso de Okta llega dos semanas después de que el equipo de seguridad Talos de Cisco informara haber visto una campaña de compromiso de credenciales a gran escala que atacaba indiscriminadamente a las redes con intentos de inicio de sesión destinados a obtener acceso no autorizado a VPN, SSH y cuentas de aplicaciones web. Estos intentos de inicio de sesión utilizaron nombres de usuario tanto genéricos como válidos dirigidos a organizaciones específicas. Cisco incluyó una lista de más de 2.000 nombres de usuario y casi 100 contraseñas utilizadas en los ataques, junto con casi 4.000 direcciones IP que envían el tráfico de inicio de sesión. Los ataques provocaron cientos de miles o incluso millones de intentos de autenticación rechazados.
A los pocos días del informe de Cisco, el equipo de Investigación de Amenazas de Identidad de Okta observó un aumento en los ataques de relleno de credenciales que parecían utilizar una infraestructura similar. Okta dijo que el aumento duró desde el 19 de abril hasta el 26 de abril, el día en que la compañía publicó su aviso.
Los funcionarios de Okta escribieron:
Los proxy residenciales son redes de dispositivos de usuarios legítimos que enrutan el tráfico en nombre de un suscriptor pago. Los proveedores de servidores proxy residenciales alquilan efectivamente el acceso para enrutar las solicitudes de autenticación a través de la computadora, el teléfono inteligente o el enrutador de un usuario real, y el tráfico proxy a través de la IP de estos dispositivos para anonimizar la fuente del tráfico.
Los proveedores de proxy residencial no suelen anunciar cómo construyen estas redes de dispositivos de usuarios reales. A veces, el dispositivo de un usuario está inscrito en una red proxy porque el usuario elige conscientemente descargar “proxyware” en su dispositivo a cambio de un pago o algo más de valor. En otras ocasiones, el dispositivo de un usuario se infecta con malware sin su conocimiento y queda inscrito en lo que normalmente describiríamos como una botnet. Más recientemente, hemos observado una gran cantidad de dispositivos móviles utilizados en redes proxy donde el usuario ha descargado una aplicación móvil desarrollada utilizando SDK (kits de desarrollo de software) comprometidos. Efectivamente, los desarrolladores de estas aplicaciones han dado su consentimiento o han sido engañados para utilizar un SDK que inscribe el dispositivo de cualquier usuario que ejecute la aplicación en una red proxy residencial.
Las personas que quieran asegurarse de que el comportamiento malicioso no se dirija a través de sus dispositivos o redes deben prestar mucha atención a las aplicaciones que instalan y a los servicios en los que se inscriben. Los servicios gratuitos o con descuento pueden depender de que el usuario acepte términos de servicio que permitan sus redes o dispositivos para enviar tráfico proxy de otros. Las aplicaciones maliciosas también pueden proporcionar subrepticiamente dichos servicios de proxy.
Okta proporciona orientación a los administradores de red para repeler los ataques de relleno de credenciales. El principal de ellos es proteger las cuentas con una contraseña segura, es decir, una generada aleatoriamente y que consta de al menos 11 caracteres. Las cuentas también deben utilizar autenticación multifactor, idealmente en una forma que cumpla con las FIDO estándar en la industria. El aviso de Okta también incluye consejos para bloquear comportamientos maliciosos al anonimizar servicios proxy.