Okta alerta sobre aumento sem precedentes em ataques

O provedor de serviços de gerenciamento de identidade e acesso (IAM), a Okta, emitiu um alerta sobre o aumento na frequência e escala dos ataques de preenchimento de credenciais direcionados a serviços online.

Esses ataques, que são incomuns, foram observados no último mês e são facilitados pela ampla disponibilidade de serviços de proxy residencial, listas de credenciais previamente roubadas (conhecidas como “listas combinadas”) e ferramentas de script. A Okta publicou o alerta no sábado.

As descobertas se baseiam em um comunicado recente da Cisco, que também alertou sobre um aumento global em ataques de força bruta direcionados a vários dispositivos. Isso inclui serviços de rede privada virtual (VPN), interfaces de autenticação de aplicativos da web e serviços SSH, desde pelo menos 18 de março de 2024.

Os ataques parecem ter origem em nós de saída do TOR e em uma variedade de túneis e proxies anônimos. Os alvos desses ataques incluem dispositivos VPN da Cisco, Check Point, Fortinet, SonicWall, bem como roteadores da Draytek, MikroTik e Ubiquiti.

Okta

Informou que sua pesquisa de ameaças de identidade identificou um aumento na atividade de preenchimento de credenciais contra contas de usuários entre 19 e 26 de abril de 2024, provavelmente originando-se de uma infraestrutura semelhante.

O preenchimento de credenciais é um tipo de ataque cibernético no qual as credenciais obtidas em uma violação de dados em um serviço são usadas para tentar acessar outro serviço não relacionado.

Alternativamente, essas credenciais podem ser extraídas por meio de ataques de phishing, nos quais as vítimas são redirecionadas para páginas de coleta de credenciais, ou por meio de campanhas de malware que instalam ladrões de informações em sistemas comprometidos.

A característica comum em todos esses ataques recentes é que eles dependem de solicitações roteadas por meio de serviços anônimos, como o TOR. Além disso, milhões de solicitações também foram roteadas por meio de uma variedade de proxies residenciais, incluindo NSOCKS, Luminati e DataImpulse.

Os proxies residenciais (RESIPs) referem-se a redes de dispositivos de usuários legítimos que são indevidamente utilizados para rotear o tráfego em nome de assinantes pagantes, sem o conhecimento ou consentimento desses usuários. Isso permite que os agentes de ameaças ocultem seu tráfego malicioso.

Normalmente, essa prática é realizada por meio da instalação de ferramentas de proxyware em computadores, telefones celulares ou roteadores. Esses dispositivos são efetivamente inscritos em uma botnet, que é então alugada a clientes de serviços que desejam anonimizar a origem de seu tráfego.

1. Existem duas situações comuns em que um dispositivo de usuário pode ser registrado em uma rede proxy.
2. Escolha consciente: O usuário decide conscientemente baixar “proxyware” em seu dispositivo em troca de pagamento ou algum outro benefício.
   Infecção por malware: Em outras ocasiões, o dispositivo de um usuário é infectado por malware sem o conhecimento do usuário e acaba se inscrevendo em uma botnet.

Essa prática é relevante para entender como os ataques cibernéticos podem se esconder por meio de solicitações roteadas por serviços anônimos, como o TOR. Além disso, milhões de solicitações também foram roteadas por meio de uma variedade de proxies residenciais, incluindo NSOCKS, Luminati e DataImpulse.

No mês passado, a equipe Satori Threat Intelligence da HUMAN revelou mais de duas dúzias de aplicativos Android VPN maliciosos que transformam dispositivos móveis em RESIPs por meio de um kit de desenvolvimento de software (SDK) incorporado, que incluía a funcionalidade de proxyware.

A soma líquida dessa atividade é que a maior parte do tráfego nesses ataques de preenchimento de credenciais parece originar-se de dispositivos móveis e navegadores de usuários comuns, e não do espaço IP dos provedores de VPS. Para mitigar o risco de invasão de contas, a empresa recomenda que as organizações:

1. Obrigem os usuários a mudar para senhas fortes.
2. Habilitem a autenticação de dois fatores (2FA).
3. Neguem solicitações originadas de locais onde não operam e endereços IP com má reputação.
4. Adicionem suporte para chaves de acesso.