imágenes falsas
El FBI dijo el viernes que miles de credenciales comprometidas recopiladas de las redes de colegios y universidades de EE. UU. están circulando en foros de delitos en línea en Rusia y en otros lugares, y podrían conducir a infracciones que instalan ransomware o roban datos.
“El FBI está informando a los socios académicos sobre las credenciales identificadas de colegios y universidades de EE. UU. anunciadas para la venta en mercados criminales en línea y foros de acceso público”, dijo la agencia. dijo. “Esta exposición de información confidencial de credenciales y acceso a la red, especialmente cuentas de usuarios privilegiados, podría dar lugar a ataques cibernéticos posteriores contra usuarios individuales u organizaciones afiliadas”.
Los nombres de inicio de sesión y las contraseñas se recopilan de forma rutinaria en los ataques de phishing, que pueden usar reclamos falsos de una violación de cuenta o un discurso con el tema de COVID para atraer a las víctimas. A menudo, los actores de amenazas que realizan estos ataques venden los datos en foros sobre delincuencia. Luego, los datos pueden ser recogidos por otros actores de amenazas que se centran en las infecciones del servidor con fines de ransomware, cryptojacking o espionaje.
En 2017, por ejemplo, el FBI observó a delincuentes que se dirigían a universidades para piratear cuentas .edu mediante la “clonación de páginas de inicio de sesión de universidades e incrustación de un enlace de recolección de credenciales en correos electrónicos de phishing”. Los actores de la amenaza recibirían las credenciales comprometidas directamente desde el servidor de la universidad.
El boletín del viernes enumeró ejemplos observados de datos de cuentas universitarias comprometidas, que incluyen:
- A partir de enero de 2022, los foros cibernéticos rusos ofrecieron a la venta o publicaron para el acceso público las credenciales de la red y los accesos a la red privada virtual a una multitud de universidades y colegios universitarios identificados en los EE. UU. en todo el país, algunos de los cuales incluían capturas de pantalla como prueba de acceso. Los sitios que publican credenciales para la venta generalmente enumeran precios que varían desde unos pocos hasta varios miles de dólares estadounidenses.
- En mayo de 2021, se identificaron más de 36 000 combinaciones de correo electrónico y contraseña (algunas de las cuales pueden haber sido duplicadas) para cuentas de correo electrónico que terminan en .edu en una plataforma de mensajería instantánea disponible públicamente. El grupo que publicó los datos comprometidos parecía estar involucrado en el tráfico de credenciales de inicio de sesión robadas y otras actividades delictivas cibernéticas.
- A fines de 2020, se encontraron a la venta en la dark web nombres de usuario y contraseñas de cuentas universitarias basadas en el territorio de EE. UU. con el dominio .edu. El vendedor enumeró aproximadamente 2,000 nombres de usuario únicos con las contraseñas correspondientes y solicitó que se hicieran donaciones a una billetera bitcoin identificada. A principios de 2022, ya no se podía acceder al sitio que contenía las credenciales.
Tanto el FBI como los investigadores de seguridad independientes recomiendan que las personas de TI dentro de las universidades y otras organizaciones “establezcan y mantengan relaciones sólidas de enlace con la oficina de campo del FBI en su región”. Esto puede facilitar que las partes se comuniquen en caso de que surja una emergencia.