Los ataques de relleno de credenciales tuvieron un gran impacto en 2024, impulsado por un círculo vicioso de infecciones de infecciones de inforte y violaciones de datos. Pero las cosas podrían estar a punto de empeorar aún con los agentes que usan computadora, un nuevo tipo de agente de IA que permite la automatización de las tareas web comunes de bajo costo y de bajo esfuerzo, incluidos los que frecuentemente realizan atacantes.
Credenciales robadas: el armamento de sufragio del ciberdelino en 2024
Las credenciales robadas fueron la entusiasmo del atacante #1 en 2023/24, y el vector de violación para el 80% de los ataques de aplicaciones web. No es sorprendente cuando considera el hecho de que miles de millones de credenciales filtradas están en circulación en dirección, y los atacantes pueden juntar la última caída por tan solo $ 10 en foros criminales.
El mercado criminal de las credenciales robadas se está beneficiando de la publicidad de infracciones de suspensión perfil en 2024, como los ataques a los clientes de copos de cocaína utilizando credenciales que se encuentran en los vertederos de violaciones de datos y los alimentos de credenciales comprometidos de las campañas de phishing de infaptea y masa, lo que resulta en el compromiso de 165 inquilinos de los clientes y cientos de registros de registros de incumplimiento de registros.
Pero a pesar de que 2024 es un año sin precedentes en términos del impacto de los ataques basados en la identidad, todavía hay mucho potencial incumplido para que los atacantes se den cuenta.
Automatización de ataques de credenciales: ¿qué ha cambiado con el cambio a SaaS?
El forzamiento bruto y el relleno de credenciales no son mínimo nuevo, y han sido un componente esencia del kit de herramientas cibernéticas durante décadas. Pero no es tan manejable rociar automáticamente las credenciales en todos los sistemas como lo era antaño.
No más
En punto de una sola red centralizada con aplicaciones y datos contenidos en el interior de un perímetro de infraestructura, ahora está formado por cientos de aplicaciones y plataformas basadas en la web, creando miles de identidades por ordenamiento.
Esto significa que las identidades además ahora están descentralizadas y distribuidas en todo Internet, en punto de almacenarse sólo en sistemas de identidad como Active Directory, e implementados utilizando protocolos y mecanismos comunes.
Si perfectamente HTTP (s) es estereotipado, las aplicaciones web modernas son complejas y enormemente personalizadas, con una interfaz gráfica que es diferente cada vez. Y para empeorar las cosas, las aplicaciones web modernas se diseñan específicamente para evitar la automatización maliciosa a través de protecciones de bot como Captcha.
Por lo tanto, en punto de encontrar protocolos estereotipado y poder escribir un solo conjunto de herramientas para usar en cualquier ordenamiento/entorno, por ejemplo, escribir un escáner DNS una vez, use un solo escáner de puerto como NMAP NMAP para todo Internet, escriba un solo script por servicio (por ejemplo, FTP, SSH, Telnet, etc.) para su rociador de contraseña: en su punto, el mejora de herramientas personalizado es necesario para cada aplicación a la que desea apuntar.
Encontrar la jeringuilla en el pajar
No solo hay más entornos para que los atacantes incluyan en el ámbito de su ataque, sino que hay más credenciales para trabajar.
Hay en torno a 15 mil millones de credenciales comprometidas Habitable en Internet sabido, sin incluir los que se encuentran solo en canales/feeds privados. Esta letanía está creciendo todo el tiempo, como las contraseñas de 244 m nunca antaño vistas y 493m de sitio web únicos y pares de direcciones de correo electrónico que se han ayudante para que me hayan recibido de los registros de InfoTealer el mes pasado.
Esto suena aterrador, pero es complicado que los atacantes aprovechen estos datos. La gran mayoría de estas credenciales son antiguas e inválidas. Una revisión fresco de los datos de TI por parte de los investigadores de seguridad de push descubrió que menos del 1% de las credenciales robadas incluidas en los alimentos de inteligencia de amenazas de un conjunto de datos de múltiples proveedores eran procesables, procesables, En otras palabras, el 99% de las credenciales comprometidas eran falsos positivos.
Pero no todos son inútiles, como lo demostraron los ataques de copo de cocaína, que aprovecharon con éxito credenciales que se remontan a 2020. Por lo tanto, hay claramente tesoros esperando ser descubiertos por los atacantes.
Los atacantes se ven obligados a priorizar
La naturaleza distribuida de las aplicaciones e identidades, y la depreciación confiabilidad de los datos de credenciales comprometidos, significa que los atacantes se ven obligados a priorizar, a pesar de un entorno rico en objetivos de cientos de aplicaciones comerciales, creando miles de identidades extendidas por ordenamiento, porque:::
- Escribir y ejecutar scripts de Python personalizados para cada aplicación (hay más de 40k aplicaciones SaaS en Internet) no es realista. Incluso si hiciera los 100 o 1000 mejores, eso sería una tarea significativa y requeriría un mantenimiento constante, mientras que tan pronto como rasca la superficie de la oportunidad total.
- Incluso cuando está completamente escrito y usa una botnet para distribuir el ataque y evitar el sitio de IP, los controles como la tapia de la velocidad, la captcha y los bloqueos de cuentas pueden obstruir el relleno de credencial masivo contra una sola aplicación. Y un ataque concentrado en un solo sitio generará niveles significativos de tráfico si desea ocurrir 15 mil millones de contraseñas en un plazo moderado, por lo que es muy probable que aumente la intranquilidad.
Por lo tanto, los atacantes tienden a apuntar a un número pequeño de aplicaciones, y solo buscan una coincidencia directa en términos de las credenciales intentadas (por ejemplo, la credencial robada debe pertenecer directamente a una cuenta en la aplicación de destino). Cuando persiguen poco nuevo, tiende a concentrarse en una aplicación/plataforma específica (por ejemplo, copo de cocaína) o en investigación de un subconjunto más angosto de credenciales (por ejemplo, credenciales claramente asociadas con dispositivos de borde, para entornos de red más tradicionales).
Una oportunidad perdida?
Como hemos establecido, la situación con respecto a los ataques de relleno de credenciales ya es suficiente mala a pesar de estas limitaciones. Pero las cosas podrían ser significativamente peores.
La reutilización de contraseña significa que una sola cuenta comprometida podría convertirse en muchos
Si los atacantes pudieran aumentar la escalera de sus ataques para apuntar a un número más amplio de aplicaciones (en punto de concentrarse en una letanía de aplicaciones de suspensión valencia), podrían utilizar la reutilización de contraseñas demasiado popular. Según una investigación fresco de datos de identidad, en promedio:
- 1 de cada 3 empleados reutiliza contraseñas
- El 9% de las identidades tienen una contraseña reutilizada y no MFA
- El 10% de las cuentas de IDP (utilizadas para SSO) tienen una contraseña no única
¿Qué quiere proponer esto? Si una credencial robada es válida, hay una buena posibilidad de que pueda estilarse para penetrar a más de una cuenta, en más de una aplicación (al menos).
Imagine el escena: Una fresco filtración de credencial comprometida de infecciones por infecciones de infestos o campañas de phishing de credenciales muestra que una combinación de nombre de agraciado y contraseña particular es válida en una aplicación específica: supongamos que Microsoft 365. Ahora, esta cuenta está suficiente bloqueada: no solo tiene MFA, sino que hay políticas de llegada condicional en su punto que restringen la IP/ubicación que se puede penetrar.
Por lo normal, aquí es donde terminaría el ataque, y centrarías tu atención en otra cosa. Pero, ¿qué pasaría si pudiera rociar estas credenciales en todas las demás aplicaciones comerciales en las que el agraciado tiene una cuenta?
Escalera de ataques de credenciales con agentes que usan computadora
Hasta ahora, el impacto de la IA en los ataques de identidad se ha acotado al uso de LLM para la creación de correos electrónicos de phishing, en el mejora de malware asistido por AI y para los bots de las redes sociales, sin duda significativa, pero no exactamente transformadora, y requiere una supervisión humana constante y la entrada.
Pero con el propagación del cámara Operai, un nuevo tipo de “agente de uso informático”, esto podría estar a punto de cambiar.
El cámara está capacitado en un conjunto de datos especializado y se implementa en su propio navegador Sandboxed, lo que significa que es capaz de realizar tareas web comunes como un humano: ver e interactuar con las páginas como lo haría un humano.
A diferencia de otras soluciones automatizadas, el cámara no requiere una implementación o codificación personalizada para poder interactuar con nuevos sitios, por lo que es una opción mucho más escalable para los atacantes que buscan apuntar a un amplio barredura de sitios/aplicaciones.
Demo: Uso del cámara para realizar ataques de relleno de credenciales a escalera
Los investigadores de Push Security pusieron a prueba los casos de uso maliciosos del cámara, lo usan para:
- Identificar qué empresas tienen un inquilino existente en una letanía de aplicaciones
- Intente iniciar sesión en varios inquilinos de aplicaciones con un nombre de agraciado y contraseña proporcionados
https://www.youtube.com/watch?v=a_yjafxpjmo
Prontuario de impacto
Los resultados fueron suficiente reveladores. El cámara demostró claramente la capacidad de dirigir una letanía de aplicaciones con credenciales comprometidas y realizar acciones en la aplicación. Ahora piense en este x10, x100, x10,000 … Estas no son tareas complejas. Pero el valencia del cámara CUAS no está en invadir la complejidad, sino la escalera. Imagine un mundo en el que puede orquestar ventanas del cámara a través de API y haga que ejecute estas acciones simultáneamente (funcionalidad que ya existe para ChatGPT).
Pero esto es más extenso que el cámara: se manejo de la dirección de la tecnología. OpenAi puede implementar restricciones: mejores barandillas en la aplicación, límites de tasa en la cantidad de tareas concurrentes y uso total, etc. Pero puede avalar que no será el único CUA, solo es cuestión de tiempo antaño de que surjan productos similares (tal vez incluso inherentemente maliciosos) que use la misma tecnología.
Pensamientos finales
Todavía es temprano para CUA Tech, pero hay una clara indicación de que un desafío de seguridad ya severo podría empeorar con esta forma particular de automatización basada en AI. Si perfectamente la capacidad de apuntar a un amplio conjunto de aplicaciones ha estado anteriormente más allá del ámbito de la automatización tradicional, está a punto de volverse mucho más accesible para atacantes poco calificados (¿piensan: ¿Next Gen Script Kiddies?).
Otra forma de pensarlo es que efectivamente le da a un atacante humano una flota de pasantes de bajo nivel que no suficiente Sepa lo que están haciendo, pero se le puede instruir a realizar tareas específicas y detalladas a escalera con solo la comprobación ocasional, mientras trabaja en otras tareas más complejas. Entonces, un poco como un apoderado de equipo rojo de Bots de IA.
El cámara significa que los atacantes pueden utilizar las credenciales comprometidas a escalera, utilizar el gran número de identidades vulnerables y mal configuradas, y convertirlas en infracciones sistémicas mucho más fácilmente. En cierto modo, podría hacer que el relleno de credencial sea un poco más como lo era antaño de las aplicaciones de cambio a la cúmulo, donde podría rociar miles de credenciales en sus objetivos sin condición de mejora personalizado cada vez.
Felizmente, no se requieren nuevas capacidades anti-AI, pero es más importante que nunca que las organizaciones busquen defender su superficie de ataque de identidad y encontrar y arreglar vulnerabilidades de identidad antaño de que los atacantes puedan aprovecharlas.
Descubre más
Si desea obtener más información sobre los ataques de identidad y cómo detenerlos, consulte la seguridad de Push: puede reservar una demostración o probar su plataforma basada en el navegador de forma gratuita.
Y si desea verlos demostramos casos de uso más maliciosos del cámara, consulte este seminario web a pedido.
