Los ataques de relleno de credenciales tuvieron un gran impacto en 2024, impulsado por un círculo vicioso de infecciones de infecciones de inforte y violaciones de datos. Pero las cosas podrían estar a punto de empeorar aún con los agentes que usan computadora, un nuevo tipo de agente de IA que permite la automatización de las tareas web comunes de bajo costo y de bajo esfuerzo, incluidos los que frecuentemente realizan atacantes.
Credenciales robadas: el arma de elección del ciberdelino en 2024
Las credenciales robadas fueron la acción del atacante #1 en 2023/24, y el vector de violación para el 80% de los ataques de aplicaciones web. No es sorprendente cuando considera el hecho de que miles de millones de credenciales filtradas están en circulación en línea, y los atacantes pueden recoger la última caída por tan solo $ 10 en foros criminales.
El mercado criminal de las credenciales robadas se está beneficiando de la publicidad de infracciones de alto perfil en 2024, como los ataques a los clientes de copos de nieve utilizando credenciales que se encuentran en los vertederos de violaciones de datos y los alimentos de credenciales comprometidos de las campañas de phishing de infaptea y masa, lo que resulta en el compromiso de 165 inquilinos de los clientes y cientos de registros de registros de incumplimiento de registros.
Pero a pesar de que 2024 es un año sin precedentes en términos del impacto de los ataques basados en la identidad, todavía hay mucho potencial incumplido para que los atacantes se den cuenta.
Automatización de ataques de credenciales: ¿qué ha cambiado con el cambio a SaaS?
El forzamiento bruto y el relleno de credenciales no son nada nuevo, y han sido un componente clave del kit de herramientas cibernéticas durante décadas. Pero no es tan fácil rociar automáticamente las credenciales en todos los sistemas como lo era antes.
No más
En lugar de una sola red centralizada con aplicaciones y datos contenidos dentro de un perímetro de infraestructura, ahora está formado por cientos de aplicaciones y plataformas basadas en la web, creando miles de identidades por organización.
Esto significa que las identidades también ahora están descentralizadas y distribuidas en todo Internet, en lugar de almacenarse únicamente en sistemas de identidad como Active Directory, e implementados utilizando protocolos y mecanismos comunes.
Si bien HTTP (s) es estándar, las aplicaciones web modernas son complejas y altamente personalizadas, con una interfaz gráfica que es diferente cada vez. Y para empeorar las cosas, las aplicaciones web modernas se diseñan específicamente para evitar la automatización maliciosa a través de protecciones de bot como Captcha.
Por lo tanto, en lugar de encontrar protocolos estándar y poder escribir un solo conjunto de herramientas para usar en cualquier organización/entorno, por ejemplo, escribir un escáner DNS una vez, use un solo escáner de puerto como NMAP NMAP para todo Internet, escriba un solo script por servicio (por ejemplo, FTP, SSH, Telnet, etc.) para su rociador de contraseña: en su lugar, el desarrollo de herramientas personalizado es necesario para cada aplicación a la que desea apuntar.
Encontrar la aguja en el pajar
No solo hay más entornos para que los atacantes incluyan en el alcance de su ataque, sino que hay más credenciales para trabajar.
Hay alrededor 15 mil millones de credenciales comprometidas Disponible en Internet público, sin incluir los que se encuentran solo en canales/feeds privados. Esta lista está creciendo todo el tiempo, como las contraseñas de 244 m nunca antes vistas y 493m de sitio web únicos y pares de direcciones de correo electrónico que se han agregado para que me hayan recibido de los registros de InfoTealer el mes pasado.
Esto suena aterrador, pero es complicado que los atacantes aprovechen estos datos. La gran mayoría de estas credenciales son antiguas e inválidas. Una revisión reciente de los datos de TI por parte de los investigadores de seguridad de push descubrió que menos del 1% de las credenciales robadas incluidas en los alimentos de inteligencia de amenazas de un conjunto de datos de múltiples proveedores eran procesables, procesables, En otras palabras, el 99% de las credenciales comprometidas eran falsos positivos.
Pero no todos son inútiles, como lo demostraron los ataques de copo de nieve, que aprovecharon con éxito credenciales que se remontan a 2020. Por lo tanto, hay claramente tesoros esperando ser descubiertos por los atacantes.
Los atacantes se ven obligados a priorizar
La naturaleza distribuida de las aplicaciones e identidades, y la baja confiabilidad de los datos de credenciales comprometidos, significa que los atacantes se ven obligados a priorizar, a pesar de un entorno rico en objetivos de cientos de aplicaciones comerciales, creando miles de identidades extendidas por organización, porque:::
- Escribir y ejecutar scripts de Python personalizados para cada aplicación (hay más de 40k aplicaciones SaaS en Internet) no es realista. Incluso si hiciera los 100 o 1000 mejores, eso sería una tarea significativa y requeriría un mantenimiento constante, mientras que apenas rasca la superficie de la oportunidad total.
- Incluso cuando está completamente escrito y usa una botnet para distribuir el ataque y evitar el bloqueo de IP, los controles como la limitación de la velocidad, la captcha y los bloqueos de cuentas pueden obstruir el relleno de credencial masivo contra una sola aplicación. Y un ataque concentrado en un solo sitio generará niveles significativos de tráfico si desea pasar 15 mil millones de contraseñas en un plazo razonable, por lo que es muy probable que aumente la alarma.
Por lo tanto, los atacantes tienden a apuntar a un número menor de aplicaciones, y solo buscan una coincidencia directa en términos de las credenciales intentadas (por ejemplo, la credencial robada debe pertenecer directamente a una cuenta en la aplicación de destino). Cuando persiguen algo nuevo, tiende a concentrarse en una aplicación/plataforma específica (por ejemplo, copo de nieve) o en busca de un subconjunto más estrecho de credenciales (por ejemplo, credenciales claramente asociadas con dispositivos de borde, para entornos de red más tradicionales).
Una oportunidad perdida?
Como hemos establecido, la situación con respecto a los ataques de relleno de credenciales ya es bastante mala a pesar de estas limitaciones. Pero las cosas podrían ser significativamente peores.
La reutilización de contraseña significa que una sola cuenta comprometida podría convertirse en muchos
Si los atacantes pudieran aumentar la escala de sus ataques para apuntar a un número más amplio de aplicaciones (en lugar de concentrarse en una lista de aplicaciones de alto valor), podrían aprovechar la reutilización de contraseñas demasiado común. Según una investigación reciente de datos de identidad, en promedio:
- 1 de cada 3 empleados reutiliza contraseñas
- El 9% de las identidades tienen una contraseña reutilizada y no MFA
- El 10% de las cuentas de IDP (utilizadas para SSO) tienen una contraseña no única
¿Qué quiere decir esto? Si una credencial robada es válida, hay una buena posibilidad de que pueda usarse para acceder a más de una cuenta, en más de una aplicación (al menos).
Imagine el escenario: Una reciente filtración de credencial comprometida de infecciones por infecciones de infestos o campañas de phishing de credenciales muestra que una combinación de nombre de usuario y contraseña particular es válida en una aplicación específica: supongamos que Microsoft 365. Ahora, esta cuenta está bastante bloqueada: no solo tiene MFA, sino que hay políticas de acceso condicional en su lugar que restringen la IP/ubicación que se puede acceder.
Por lo general, aquí es donde terminaría el ataque, y centrarías tu atención en otra cosa. Pero, ¿qué pasaría si pudiera rociar estas credenciales en todas las demás aplicaciones comerciales en las que el usuario tiene una cuenta?
Escala de ataques de credenciales con agentes que usan computadora
Hasta ahora, el impacto de la IA en los ataques de identidad se ha limitado al uso de LLM para la creación de correos electrónicos de phishing, en el desarrollo de malware asistido por AI y para los bots de las redes sociales, sin duda significativa, pero no exactamente transformadora, y requiere una supervisión humana constante y la entrada.
Pero con el lanzamiento del operador Operai, un nuevo tipo de «agente de uso informático», esto podría estar a punto de cambiar.
El operador está capacitado en un conjunto de datos especializado y se implementa en su propio navegador Sandboxed, lo que significa que es capaz de realizar tareas web comunes como un humano: ver e interactuar con las páginas como lo haría un humano.
A diferencia de otras soluciones automatizadas, el operador no requiere una implementación o codificación personalizada para poder interactuar con nuevos sitios, por lo que es una opción mucho más escalable para los atacantes que buscan apuntar a un amplio barrido de sitios/aplicaciones.
Demo: Uso del operador para realizar ataques de relleno de credenciales a escala
Los investigadores de Push Security pusieron a prueba los casos de uso maliciosos del operador, lo usan para:
- Identificar qué empresas tienen un inquilino existente en una lista de aplicaciones
- Intente iniciar sesión en varios inquilinos de aplicaciones con un nombre de usuario y contraseña proporcionados
https://www.youtube.com/watch?v=a_yjafxpjmo
Resumen de impacto
Los resultados fueron bastante reveladores. El operador demostró claramente la capacidad de dirigir una lista de aplicaciones con credenciales comprometidas y realizar acciones en la aplicación. Ahora piense en este x10, x100, x10,000 … Estas no son tareas complejas. Pero el valor del operador CUAS no está en abordar la complejidad, sino la escala. Imagine un mundo en el que puede orquestar ventanas del operador a través de API y haga que ejecute estas acciones simultáneamente (funcionalidad que ya existe para ChatGPT).
Pero esto es más grande que el operador: se trata de la dirección de la tecnología. OpenAi puede implementar restricciones: mejores barandillas en la aplicación, límites de tasa en la cantidad de tareas concurrentes y uso total, etc. Pero puede garantizar que no será el único CUA, solo es cuestión de tiempo antes de que surjan productos similares (tal vez incluso inherentemente maliciosos) que use la misma tecnología.
Pensamientos finales
Todavía es temprano para CUA Tech, pero hay una clara indicación de que un desafío de seguridad ya severo podría empeorar con esta forma particular de automatización basada en AI. Si bien la capacidad de apuntar a un amplio conjunto de aplicaciones ha estado anteriormente más allá del alcance de la automatización tradicional, está a punto de volverse mucho más accesible para atacantes poco calificados (¿piensan: ¿Next Gen Script Kiddies?).
Otra forma de pensarlo es que efectivamente le da a un atacante humano una flota de pasantes de bajo nivel que no bastante Sepa lo que están haciendo, pero se le puede instruir a realizar tareas específicas y detalladas a escala con solo la verificación ocasional, mientras trabaja en otras tareas más complejas. Entonces, un poco como un gerente de equipo rojo de Bots de IA.
El operador significa que los atacantes pueden aprovechar las credenciales comprometidas a escala, aprovechar el gran número de identidades vulnerables y mal configuradas, y convertirlas en infracciones sistémicas mucho más fácilmente. En cierto modo, podría hacer que el relleno de credencial sea un poco más como lo era antes de las aplicaciones de cambio a la nube, donde podría rociar miles de credenciales en sus objetivos sin necesidad de desarrollo personalizado cada vez.
Afortunadamente, no se requieren nuevas capacidades anti-AI, pero es más importante que nunca que las organizaciones busquen defender su superficie de ataque de identidad y encontrar y arreglar vulnerabilidades de identidad antes de que los atacantes puedan aprovecharlas.
Descubre más
Si desea obtener más información sobre los ataques de identidad y cómo detenerlos, consulte la seguridad de Push: puede reservar una demostración o probar su plataforma basada en el navegador de forma gratuita.
Y si desea verlos demostramos casos de uso más maliciosos del operador, consulte este seminario web a pedido.