Breve analisi dell'attacco
Anatomia di un Credential Stuffing
Il furto delle credenziali fornisce ai cybercriminali le chiavi per muoversi all'interno di un'organizzazione e progredire verso altri obiettivi. In questo esempio di attacco informatico, l'autore dell'attacco si è diretto direttamente verso Microsoft SaaS e ha tentato di accedere dopo aver ottenuto le credenziali rubate.
Che cos'è il credential stuffing?
Il credential stuffing è un tipo di attacco informatico in cui gli aggressori utilizzano strumenti automatizzati per provare grandi volumi di combinazioni di nomi utente e password, spesso ottenute da una precedente violazione dei dati, per ottenere l'accesso non autorizzato agli account degli utenti. Sebbene non sia il tipo di attacco più sofisticato, il credential stuffing rappresenta una minaccia significativa perché si basa su password deboli e sul riutilizzo delle password. Testando milioni di combinazioni di nomi utente e password in un breve lasso di tempo, gli aggressori possono compromettere le credenziali con il minimo sforzo. Anche se il tasso di successo è in genere basso, l'enorme volume di credenziali utente disponibili per lo scambio sul dark web rende questa tattica vantaggiosa. Viene spesso utilizzata in combinazione con phishing per assumere il controllo degli account e causare gravi danni.
Perché gli hacker utilizzano il credential stuffing
Gruppi di ransomware come Akira, Medusa e Blacksuit il credential stuffing come metodo semplice per ottenere l'accesso e muoversi lateralmente all'interno della rete aziendale. Prendono le credenziali ottenute da una violazione dei dati e utilizzano gli stessi nomi utente e password per accedere a una VPN o a un'applicazione aziendale. L'autore dell'attacco conta sul fatto che i dipendenti riutilizzino le stesse credenziali per più servizi e utilizza dei bot per aggirare l'autenticazione a più fattori (MFA) e altri strumenti di prevenzione.
Come funziona un attacco di credential stuffing
Gli attacchi di credential stuffing sono relativamente semplici. In genere iniziano quando l'autore dell'attacco utilizza bot o script per automatizzare il processo di tentativo di accesso utilizzando credenziali rubate. Questi strumenti possono effettuare migliaia di tentativi di accesso al secondo, consentendo agli autori delle minacce di testare in modo efficiente le credenziali su più piattaforme.
Una volta effettuato l'accesso, l'autore dell'attacco può assumere il controllo dell'account compromesso per avanzare nella rete aziendale. Può rubare dati sensibili, interrompere le operazioni e lanciare ulteriori attacchi, senza nemmeno bisogno di eseguire un exploit.
Come contrastare gli attacchi di credential stuffing
Nel caso del credential stuffing, la formazione sulla sicurezza informatica e altre misure preventive non servono a molto: occorre un modo per individuare i tentativi di stuffing nel momento in cui avvengono. Tuttavia, spesso l'unica attività sospetta è un improvviso aumento dei tentativi di accesso. E anche in questo caso, è difficile bloccare gli attacchi senza influire sugli utenti legittimi.
Il modo migliore per bloccare gli attacchi di credential stuffing è il monitoraggio 24 ore su 24, 7 giorni su 7, supportato da rilevamenti basati sull'intelligenza artificiale, come quelli forniti da Vectra AI. Ad esempio, quando un hacker reale ha tentato di accedere all'ambiente Microsoft SaaS di un'organizzazione globale, ha attivato diversi Vectra AI , tra cui un accesso sospetto a Entra ID e un utilizzo insolito del motore di scripting. Questi rilevamenti hanno spinto il team MXDR di Vectra a segnalare l'incidente e a bloccare l'attacco prima che avesse inizio.
Scopri come Vectra MXDR ha bloccato un attacco di credential stuffing
Consulta la nostra analisi dell'attacco riportata di seguito per scoprire cosa è successo quando un hacker reale ha tentato di infiltrarsi nell'ambiente Vectra AI utilizzando il credential stuffing.
Apprezzato da esperti e aziende in tutto il mondo
