Los ataques de relleno de credenciales son un problema creciente donde las botnets pueden iniciar tantos intentos de inicio de sesión fraudulentos que la ola tiene el efecto de un ataque distribuido de denegación de servicio DDoS
El ataque consiste en tratar de iniciar sesión en múltiples servicios en línea usando una combinación de nombre de usuario y contraseña compilada a partir de violaciones de datos.
El éxito del esfuerzo depende de la práctica común de los usuarios que tienen la misma contraseña para varias cuentas.
Los ciberdelincuentes automatizan estos ataques y usan botnets que distribuyen la actividad de inicio de sesión entre los sistemas comprometidos.
El objetivo final es iniciar sesión en un sitio de destino y asumir la identidad del propietario de la cuenta, robar dinero o recopilar información.
Las estadísticas generales de una compañía que ofrece servicios de mitigación DDoS son asombrosas: más de 30 mil millones de intentos de inicio de sesión maliciosos registrados en menos de un año, desde noviembre de 2017 hasta junio de 2018.
En los últimos dos meses del intervalo, los bots generaron aproximadamente 8.3 billones de intentos de iniciar sesión con credenciales robadas.
El último informe del Estado de Internet de Akamai describe ataques de relleno de credenciales dirigidos a dos compañías en el sector financiero, con uno de ellos afectado por tres botnets al mismo tiempo.
Tres botnets con diferentes enfoques de ataque
En el primer caso, los atacantes produjeron un aumento significativo en el tráfico de red de una gran cooperativa de ahorro y crédito en América del Norte.
En el transcurso de una semana, Akamai notó 315.178 intentos de inicio de sesión fraudulentos de aproximadamente 20,000 direcciones IP de 1,750 Proveedores de Servicios de Internet (ISP). Se observaron 4.382 agentes de usuario diferentes en el ataque.
La primera botnet que ejecutó un ataque de relleno de credenciales fue responsable de un tercero (94,2296) de los intentos de inicio de sesión maliciosos. Akamai lo calificó como una "botnet tonta" porque su tráfico provenía de dos direcciones IP y todas las solicitudes tenían el mismo agente de usuario, lo que facilita su identificación y detención.
El segundo adversario era más complejo, enviando tráfico desde 10,000 direcciones IP diferentes y usando 695 agentes de usuario.
"Durante tres días, el botnet promedió 59 solicitudes por segundo y fue responsable de 190.487 intentos de inicio de sesión maliciosos", escribe Akamai en el informe.
El tercer botnet fue el más difícil de defender porque tomó el enfoque "lento y lento", con solo un intento de inicio de sesión malicioso que ocurre cada dos minutos, lo que suma un total de 5,286 intentos de inicio de sesión maliciosos en una semana. Usó 188 agentes de usuario únicos y 1.500 direcciones IP.
La baja actividad de este botnet hizo que sea más difícil detectar y permitió que el atacante ejecutara su juego durante un período más largo.
El botnet ruidoso usa el agente de usuario
La segunda organización afectada por ataques de relleno de credenciales también es un servicio financiero. Su tráfico normal registró 7 millones de inicios de sesión legítimos en seis días, pero cuando comenzó la actividad de la botnet, hubo más de 8,5 millones de inicios de sesión fraudulentos, la mayoría de los cuales ocurrieron durante 48 horas.
Akamai dice que un tercio del tráfico provino de Vietnam y los EE. UU. El tamaño total de la botnet fue de 20,000 puntos finales con direcciones IP de 4,933 ISP.
Lo que delató la actividad fraudulenta fue que el 95% del tráfico parecía provenir del mismo tipo de dispositivo, el teléfono inteligente Samsung Galaxy SM-G531H, lo que hace que las malas solicitudes sean más fáciles de identificar y detener.
Los ataques de relleno de credenciales son fáciles de organizar debido a las herramientas automatizadas disponibles como servicio. El requisito principal es tener una base de datos de nombres de usuario y contraseñas crackeadas lo suficientemente grande para alimentar los campos de inicio de sesión de varios servicios.
Como las violaciones de datos son frecuentes y los usuarios tienden a reciclar sus contraseñas, no hay escasez de forraje para el relleno de credenciales.
Fecha actualización el 2021-09-20. Fecha publicación el 2018-09-20. Categoría: hackers Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer