Okta alerta aumento de ataques por proxy
O provedor de serviços de gerenciamento de identidade e acesso (IAM), Okta, alertou sobre um aumento na “frequência e escala” dos ataques de preenchimento de credenciais direcionados a serviços on-line.
Esses ataques sem precedentes, observados no último mês, seriam facilitados pela “ampla disponibilidade de serviços de proxy residencial, listas de credenciais anteriormente roubadas (‘listas combinadas’) e ferramentas de script”, disse a empresa em alerta publicado no sábado. .
As descobertas baseiam-se em um comunicado recente da Cisco, que alertou sobre um aumento world em ataques de força bruta direcionados a vários dispositivos, incluindo serviços de rede privada digital (VPN), interfaces de autenticação de aplicativos da net e serviços SSH, desde pelo menos 18 de março de 2024. .
“Todos esses ataques parecem ser originados de nós de saída TOR e de uma série de outros túneis e proxies anônimos”, observou Talos na época, acrescentando que os alvos dos ataques incluem dispositivos VPN da Cisco, Verify Level, Fortinet, SonicWall, bem como roteadores da Draytek, MikroTik e Ubiquiti.
Okta disse que sua pesquisa de ameaças de identidade detectou um aumento na atividade de preenchimento de credenciais contra contas de usuários de 19 a 26 de abril de 2024, de provavelmente infraestrutura semelhante.
O preenchimento de credenciais é um tipo de ataque cibernético em que credenciais obtidas em uma violação de dados em um serviço são usadas para tentar entrar em outro serviço não relacionado.
Alternativamente, essas credenciais podem ser extraídas através de ataques de phishing que redirecionam as vítimas para páginas de recolha de credenciais ou através de campanhas de malware que instalam ladrões de informações em sistemas comprometidos.
“Todos os ataques recentes que observamos compartilham uma característica em comum: eles dependem de solicitações roteadas por meio de serviços de anonimato, como o TOR”, disse Okta.
“Milhões de solicitações também foram roteadas por meio de uma variedade de proxies residenciais, incluindo NSOCKS, Luminati e DataImpulse.”
Os proxies residenciais (RESIPs) referem-se a redes de dispositivos de utilizadores legítimos que são utilizados indevidamente para encaminhar o tráfego em nome de assinantes pagantes sem o seu conhecimento ou consentimento, permitindo assim que os agentes de ameaças ocultem o seu tráfego malicioso.
Isso normalmente é conseguido através da instalação de ferramentas de proxyware em computadores, telefones celulares ou roteadores, inscrevendo-os efetivamente em uma botnet que é então alugada aos clientes do serviço que desejam anonimizar a origem de seu tráfego.
“Às vezes, o dispositivo de um usuário é registrado em uma rede proxy porque o usuário escolhe conscientemente baixar ‘proxyware’ em seu dispositivo em troca de pagamento ou algo de valor”, explicou Okta.
“Em outras ocasiões, o dispositivo de um usuário é infectado por malware sem o conhecimento do usuário e se inscreve no que normalmente descreveríamos como uma botnet”.
No mês passado, a equipe Satori Risk Intelligence da HUMAN revelou mais de duas dúzias de aplicativos Android VPN maliciosos que transformam dispositivos móveis em RESIPs por meio de um package de desenvolvimento de software program (SDK) incorporado que incluía a funcionalidade de proxyware.
“A soma líquida desta atividade é que a maior parte do tráfego nesses ataques de preenchimento de credenciais parece originar-se de dispositivos móveis e navegadores de usuários comuns, e não do espaço IP dos provedores de VPS”, disse Okta.
Para mitigar o risco de invasão de contas, a empresa recomenda que as organizações obriguem os usuários a mudar para senhas fortes, habilitem a autenticação de dois fatores (2FA), neguem solicitações originadas de locais onde não operam e endereços IP com má reputação, e adicione suporte para chaves de acesso.
