Acceso a credenciales a través de ladrones de información

Acceso a credenciales a través de ladrones de información

  • jueves 1 diciembre, 2022

A lo largo de 2022, el robo de credenciales de usuario continuó cubriendo el panorama de amenazas. Un ejemplo reciente que ilustra tanto la simplicidad como la profundidad de esta táctica es la violación de Uber por parte del actor de amenazas Teapot. Compraron las credenciales de usuario recolectadas ilegalmente en Darknet Marketplace (DNM). Luego usaron las credenciales robadas para hacer ingeniería social y entrar en la red de Uber a través de un ataque de agotamiento MFA (autenticación de múltiples factores).

Si bien Uber ciertamente no es la única víctima de robo de credenciales, su situación destaca un proceso de robo y cómo los actores de amenazas usan las credenciales robadas. Muchos piensan que el delito cibernético es una operación de una sola fuente, pero rara vez es así. Detrás de la mayoría de los compromisos hay una extensa red criminal que incluye, entre muchos actores de amenazas, corredores de acceso inicial y mayorista que recopilan y venden credenciales de usuario. Esto, a su vez, alimenta delitos adicionales en el futuro.

Robo de credenciales

Los actores de amenazas usan acceso de credenciales ( TA0006 ) para adquirir credenciales de usuario. Existen varias técnicas que se utilizan para obtener acceso a las credenciales de usuario válidas, como la recopilación de credenciales de los almacenes de contraseñas ( T1555 ), el robo de cookies de sesión web ( T1539 ) o el hallazgo de credenciales no seguras ( T1552 ). Una vez adquiridos, los actores de amenazas pueden iniciar sesión y acceder a redes seguras con una detección mínima al aprovechar las credenciales legítimas.

Detrás de esta actividad se encuentra una economía clandestina en auge donde los actores de amenazas compran y venden credenciales válidas comprometidas obtenidas de los ladrones de información. Los ladrones de información son malware que recopila información, como credenciales de usuario de dispositivos infectados. Las ofertas de malware para robar información van desde paquetes de software independientes hasta plataformas completas de malware como servicio.

Los ataques de phishing suelen ser el sistema de distribución elegido por los ladrones de información. En ellos, el actor de amenazas intenta hacer ingeniería social a los usuarios para que descarguen e implementen una carga útil maliciosa. Por lo general, se logra a través de correos electrónicos que contienen archivos adjuntos maliciosos. También se lleva a cabo a través de servicios de terceros, como plataformas de redes sociales y sitios web comprometidos.

Ladrón de mapaches

Raccoon Stealer es un ladrón de información que recopila información personal de dispositivos comprometidos, incluida información del sistema, nombres de usuario y contraseñas almacenados en navegadores, archivos de sesión de Discord, información de tarjetas de crédito, datos de autocompletado y billeteras criptográficas. También puede servir como cargador para cargas útiles maliciosas adicionales. Raccoon Stealer se vende como servicio a través de foros rusos por $150 al día o $275 al mes. Hay opciones si se necesitan características adicionales.

Panel de mapache

Un ejemplo reciente de ladrón de mapaches

La compañía de seguridad cibernética Sucuri informó recientemente que los actores de amenazas están utilizando avisos falsos de protección DDoS de Cloudflare para entregar cargas maliciosas. Están aprovechando una inyección de JavaScript para apuntar a sitios web vulnerables de WordPress para mostrar avisos DDoS falsos. Una vez que un usuario hace clic en el indicador, se descarga un archivo .iso malicioso y un nuevo mensaje intenta aplicar más ingeniería social al usuario para que abra el archivo que contiene un troyano de acceso remoto de NetSupport. Esto, a su vez, despliega Raccoon Stealer.

ladrón de mapaches

Ladrón de línea roja

Redline Stealer es otro ladrón de información que recolecta información personal de dispositivos comprometidos, incluida información del sistema, nombres de usuario y contraseñas almacenadas en navegadores, información de tarjetas de crédito, datos de autocompletado, VPN y datos de clientes FTP/IM. Los clientes también pueden personalizar un capturador por ruta, extensión y búsqueda. Redline Stealer se vende como un servicio de suscripción mensual por $100 o $200 por una licencia independiente. Los foros de hackers hacen que las versiones descifradas de Redline estén fácilmente disponibles.

Panel de línea roja

Un ejemplo reciente de ladrón de líneas rojas

SecureList de la compañía global de ciberseguridad Kaspersky informó recientemente sobre un actor de amenazas que aprovechó RedLine para apuntar a los jugadores a través de señuelos de YouTube. El ataque consistió en una carga útil de RedLine oculta dentro de un archivo malicioso anunciado como trampas y grietas en una descripción de video. Una vez infectado, el archivo malicioso que se propaga a sí mismo publica un video en el canal de YouTube del usuario infectado y se vincula a un archivo protegido por contraseña con un archivo malicioso que contiene RedLine.

Lamentablemente, es una economía clandestina próspera

Una vez que un actor de amenazas ha implementado con éxito un ladrón de información y ha recopilado credenciales válidas comprometidas, a menudo acude al mercado de la red oscura de su elección y vende los registros. Los precios de los troncos pueden oscilar entre un dólar y varios cientos. El precio suele reflejar la calidad de los troncos. Por ejemplo, los registros con VPN corporativas, RDP, puertas de enlace CMS, aplicaciones web y servicios de correo electrónico ocupan los primeros lugares y generan la mayor cantidad de dinero.

Panel de mapache

Hoy en día, adquirir credenciales robadas es demasiado fácil. Los compradores pueden simplemente crear una cuenta y buscar registros de ladrones en varios mercados. Los registros se pueden filtrar para datos relacionados con tipos específicos de ladrones de información, sistemas operativos, condados, enlaces corporativos y más. Los registros de robo a la venta en el mercado ruso oscilan entre $ 1 y $ 10 y brindan a los compradores cookies y datos de autocompletado de navegadores, información del sistema, contraseñas de usuarios infectados y más.

El futuro de los ladrones de información

Los ladrones de información que recolectan credenciales de usuario válidas son un componente importante de la economía clandestina del cibercrimen. Con casi una docena de ladrones de información actualmente en funcionamiento y posibles compradores de registros que van desde afiliados de ransomware hasta espías corporativos, las organizaciones necesitan extraer y aprovechar la inteligencia procesable de los eventos recientes. Aprender de brechas como la que afectó a Uber es un gran ejemplo de cómo reforzar la postura defensiva de su organización.

Como se mencionó, el robo de credenciales no muestra signos de desaceleración. Aquí está la cosa: no lo hará, nunca. Lamentablemente, las credenciales robadas que se venden en los mercados de la red oscura son muy lucrativas. Si desea obtener más información sobre la economía clandestina digital relacionada con el acceso a credenciales comunícate con nosotros y un especialista atenderá todas tus inquietudes.

ventas@advance-nt.com

www.advance-nt.com

5556730701

 

 

Post Recientes

Soluciones de Ciberseguridad Hillstone: Protegiendo Perímetros y Más Allá

 domingo 28 mayo, 2023 Soluciones de Ciberseguridad Hillstone: Protegiendo Perímetros y Más Allá

Soluciones avanzadas de Ciberseguridad en entornos Multi-Cloud:  Radware SecurePath

 domingo 7 mayo, 2023 Soluciones avanzadas de Ciberseguridad en entornos Multi-Cloud:  Radware SecurePath

Ciberseguridad en la era Multi-Nube: Los Desafíos

 domingo 7 mayo, 2023 Ciberseguridad en la era Multi-Nube: Los Desafíos

¿Qué es un WAF?, ¿Necesita un WAF mi empresa?

 sábado 6 mayo, 2023 ¿Qué es un WAF?, ¿Necesita un WAF mi empresa?