Las credenciales de cuenta, un popular vector de acceso inicial, se han convertido en un bien valioso en el ciberdelito. Como resultado, un único conjunto de credenciales robadas puede poner en riesgo toda la red de su organización.
De acuerdo con la Informe de investigación de vulneración de datos de Verizon de 2023partes externas fueron responsables de 83 por ciento de incumplimientos ocurridos entre noviembre de 2021 y octubre de 2022. cuarenta y nueve por ciento de esas infracciones involucraron credenciales robadas.
¿Cómo están comprometiendo los actores de amenazas las credenciales? La ingeniería social es una de las Las cinco principales amenazas a la ciberseguridad en 2023. El phishing, que representa el % de los intentos de ingeniería social, es el método preferido para robar credenciales. Es una táctica relativamente barata que produce resultados.
A medida que las técnicas de phishing y de ingeniería social se vuelven más sofisticadas y las herramientas están más disponibles, el robo de credenciales debería convertirse en una de las principales preocupaciones de seguridad para todas las organizaciones, si es que ya no lo es.
El phishing ha evolucionado
Con el phishing y la ingeniería social en general, los actores de amenazas están mirando más allá del simple uso de correos electrónicos:
- Las campañas de phishing son ahora ataques multicanal que tienen múltiples etapas. Además de los correos electrónicos, los actores de amenazas utilizan mensajes de texto y mensajes de voz para dirigir a las víctimas a sitios web maliciosos y luego utilizan una llamada telefónica de seguimiento para continuar con la artimaña.
- Los actores de amenazas se dirigen activamente a los dispositivos móviles. Las credenciales pueden verse comprometidas porque los usuarios pueden dejarse engañar por tácticas de ingeniería social en diferentes aplicaciones. La mitad de todos los dispositivos personales estuvieron expuestos a un ataque de phishing cada trimestre de 2022.
- La IA se ha convertido en un factor. La IA se utiliza para hacer que el contenido de phishing sea más creíble y ampliar el alcance de los ataques. Utilizando datos de investigación de víctimas, la IA puede crear mensajes de phishing personales y luego refinarlos para agregar un barniz de legitimidad para obtener mejores resultados.
PhaaS es el camino hacia el robo de credenciales
Aun así, no se necesita mucho para empezar a robar credenciales. El phishing se ha convertido en un buen negocio a medida que los actores de amenazas adoptan plenamente el modelo de phishing como servicio (PhaaS) para subcontratar su experiencia a otros. Con los kits de phishing que se venden en foros clandestinos, incluso los principiantes sin habilidades para infiltrarse en sistemas de TI por sí mismos pueden tener la capacidad de lanzar un ataque.
PhaaS opera como negocios SaaS legítimos. Hay modelos de suscripción para elegir y se requiere la compra de una licencia para que los kits funcionen.
Herramientas avanzadas de phishing utilizadas para apuntar a cuentas de Microsoft 365
El ecosistema de phishing BEC de W3LL expuesto
Durante los últimos seis años, el actor de amenazas W3LL ha estado ofreciendo su kit de phishing personalizado, el W3LL Panel, en su mercado clandestino, W3LL Store. El kit de W3LL fue creado para evitar la autenticación multifactor (MFA) y es una de las herramientas de phishing más avanzadas del mercado clandestino.
Entre octubre de 2022 y julio de 2023, la herramienta se utilizó para infiltrarse con éxito en al menos 8.000 de las 56.000 cuentas corporativas de correo electrónico empresarial de Microsoft 365 que fueron atacados. W3LL también vende otros activos, incluidas listas de correo electrónico de las víctimas, cuentas de correo electrónico comprometidas, cuentas VPN, sitios web y servicios comprometidos y señuelos de phishing personalizados. Se estima que los ingresos de la tienda W3LL durante los últimos 10 meses fueron tanto como $500,000.
El kit de phishing Greatness simplifica BEC
La grandeza ha estado presente desde noviembre de 2022, con fuertes saltos en la actividad durante Diciembre de 2022 y nuevamente en marzo de 2023.. Además de la integración del bot de Telegram y el filtrado de IP, Greatness incorpora la capacidad de omitir la autenticación multifactor como el Panel W3LL.
El contacto inicial se realiza con un correo electrónico de phishing que redirige a la víctima a una página de inicio de sesión falsa de Microsoft 365 donde la dirección de correo electrónico de la víctima se ha completado previamente. Cuando la víctima ingresa su contraseña, Greatness se conecta a Microsoft 365 y omite el MFA solicitándole a la víctima que envíe el código MFA en la página señuelo. Luego, ese código se reenvía al canal de Telegram para que el actor de la amenaza pueda usarlo y acceder a la cuenta auténtica. El kit de phishing Greatness solo se puede implementar y configurar con una clave API.
El mercado clandestino de credenciales robadas
En 2022, hubo Más de 24 mil millones de credenciales a la venta en la Dark Web, un aumento con respecto a 2020. El precio de las credenciales robadas varía según el tipo de cuenta. Por ejemplo, Las credenciales de nube robadas cuestan aproximadamente el mismo precio que una docena de donas mientras Los inicios de sesión de cuentas bancarias de ING se venderán por 4.255 dólares.
El acceso a estos foros clandestinos puede resultar difícil y algunas operaciones requieren verificación o cuota de membresía. En algunos casos, como en la Tienda W3LL, solo se permiten nuevos miembros por recomendación de los miembros existentes.
Los peligros de que los usuarios finales utilicen credenciales robadas
Los riesgos de robo de credenciales se agravan si los usuarios finales reutilizan contraseñas en varias cuentas. Los actores de amenazas pagan por credenciales robadas porque saben que muchas personas usan la misma contraseña en múltiples cuentas y servicios web para fines personales y comerciales.
No importa cuán impenetrable pueda ser la seguridad de su organización, puede resultar difícil evitar la reutilización de credenciales válidas robadas de otra cuenta.
El beneficio económico es la motivación detrás del robo de credenciales
Después de robar las credenciales de la cuenta, los actores de amenazas pueden distribuir malware, robar datos, hacerse pasar por el propietario de la cuenta y realizar otros actos maliciosos con la cuenta de correo electrónico comprometida. Sin embargo, los actores de amenazas que roban las credenciales a menudo no son quienes utilizarán la información.
El beneficio financiero sigue siendo la principal razón detrás 95% de incumplimientos. Los actores de amenazas venderán las credenciales que han robado en foros clandestinos para obtener ganancias a otros actores de amenazas que las usarán semanas o meses después. Esto significa que las credenciales robadas serán la fuerza impulsora de los mercados clandestinos en el futuro. ¿Qué medidas está tomando para proteger las credenciales de los usuarios en su organización?
Bloquear contraseñas comprometidas
Elimine los riesgos de seguridad de las contraseñas comprometidas con la Política de contraseñas de Specops con protección de contraseña infringida que le permite bloquear más de 4 mil millones de contraseñas comprometidas conocidas de su Active Directory. Se evitará que todos los usuarios utilicen contraseñas comprometidas conocidas y se les guiará para que creen una contraseña diferente que se ajuste a su política. Además, si se activa el escaneo continuo, los usuarios recibirán una alerta por SMS o correo electrónico tan pronto como se descubra que su contraseña está comprometida.
Puede fortalecer su infraestructura de contraseñas utilizando la función de diccionario personalizado que le permite bloquear palabras comunes a su organización, así como patrones débiles y predecibles. Aplique una política de contraseñas más sólida que cumpla con los requisitos de cumplimiento actuales de la política de contraseñas de Specops. Pruébalo gratis aquí.