Anatomia di un attacco a Credential Stuffing

Che cos'è il credential stuffing?

Il credential stuffing è un tipo di attacco informatico in cui gli aggressori utilizzano strumenti automatizzati per provare grandi quantità di combinazioni di nomi utente e password, spesso ottenute da una precedente violazione dei dati, per ottenere l'accesso non autorizzato agli account degli utenti. Pur non essendo il tipo di attacco più sofisticato, il credential stuffing rappresenta una minaccia significativa perché si basa su password deboli e sul riutilizzo delle stesse. Testando milioni di combinazioni nome utente-password in un breve lasso di tempo, gli aggressori possono compromettere le credenziali con uno sforzo minimo. Anche se il tasso di successo è generalmente basso, il volume di credenziali utente disponibili per il commercio sul dark web rende questa tattica utile. Spesso viene utilizzata in combinazione con attacchi phishing per impossessarsi di account e creare scompiglio.

Perché gli aggressori usano il credential stuffing

Gruppi di ransomware come Akira, Medusae Blacksuit utilizzano il credential stuffing come un modo semplice per ottenere l'accesso e muoversi lateralmente attraverso la rete aziendale. Prendono le credenziali ottenute da una violazione dei dati e utilizzano gli stessi nomi utente e password per accedere a una VPN o a un'applicazione aziendale. L'aggressore conta sul fatto che i dipendenti riutilizzino le stesse credenziali per più servizi e utilizza i bot per aggirare l'autenticazione a più fattori (MFA) e altri strumenti di prevenzione.

Come funziona un attacco di credential stuffing

Gli attacchi di credential stuffing sono relativamente semplici. In genere iniziano quando l'aggressore utilizza bot o script per automatizzare il processo di tentativo di accesso utilizzando credenziali rubate. Questi strumenti possono provare migliaia di tentativi di accesso al secondo, consentendo agli attori delle minacce di testare in modo efficiente le credenziali su più piattaforme.

Una volta che il login è riuscito, l'aggressore può prendere il controllo dell'account compromesso per avanzare nella rete aziendale. Può rubare dati sensibili, interrompere le operazioni e sferrare ulteriori attacchi, senza dover mai eseguire un exploit.

Come contrastare gli attacchi di credential stuffing

Nel caso del credential stuffing, i corsi di sensibilizzazione alla sicurezza e altre misure di sicurezza preventive non servono a molto: è necessario un modo per individuare i tentativi di stuffing nel momento in cui si verificano. Ma spesso l'unica attività sospetta è un improvviso aumento dei tentativi di accesso. E anche in questo caso, è difficile bloccare gli attacchi senza che gli utenti legittimi ne risentano.

Il modo migliore per bloccare gli attacchi di credential stuffing è un monitoraggio 24 ore su 24, 7 giorni su 7, supportato da rilevamenti guidati dall'intelligenza artificiale, come quelli forniti da Vectra AI. Ad esempio, quando un aggressore reale ha tentato di accedere all'ambiente Microsoft SaaS di un'organizzazione globale, ha attivato diversi rilevamenti di Vectra AI , tra cui Entra ID suspicious sign-on e l'uso insolito del motore di scripting. Questi rilevamenti hanno indotto il team MXDR di Vectra a intensificare l'incidente e a bloccare l'attacco prima che iniziasse. 

Scoprite come Vectra MXDR ha fermato un attacco di credential stuffing

Guardate la nostra anatomia dell'attacco qui sotto per vedere cosa è successo quando un aggressore del mondo reale ha tentato di infiltrarsi nell'ambiente di un cliente di Vectra AI utilizzando il credential stuffing.