Analisi di un Credential Stuffing "

Che cos'è il credential stuffing?

Il credential stuffing è un tipo di attacco informatico in cui gli hacker utilizzano strumenti automatizzati per provare un gran numero di combinazioni di nome utente e password — spesso ottenute da una precedente violazione dei dati — al fine di ottenere l'accesso non autorizzato agli account degli utenti. Pur non essendo il tipo di attacco più sofisticato, il credential stuffing rappresenta una minaccia significativa poiché sfrutta le password deboli e il riutilizzo delle stesse. Provando milioni di combinazioni di nome utente e password in un breve lasso di tempo, gli hacker possono compromettere le credenziali con il minimo sforzo. Sebbene il tasso di successo sia in genere basso, l'enorme volume di credenziali utente disponibili per lo scambio sul dark web rende questa tattica vantaggiosa. Viene spesso utilizzata in combinazione con phishing per assumere il controllo degli account e causare gravi danni.

Perché gli hacker ricorrono al credential stuffing

Gruppi di ransomware come Akira, Medusa e Blacksuit credential stuffing come metodo semplice per ottenere l'accesso e muoversi lateralmente all'interno della rete aziendale. Prendono le credenziali ottenute da una violazione dei dati e utilizzano gli stessi nomi utente e password per accedere a una VPN o a un'applicazione aziendale. L'autore dell'attacco fa leva sul fatto che i dipendenti riutilizzino le stesse credenziali per più servizi e impiega dei bot per aggirare l'autenticazione a più fattori (MFA) e altri strumenti di prevenzione.

Come funziona un attacco di credential stuffing

Gli attacchi di credential stuffing sono relativamente semplici. In genere hanno inizio quando l'autore dell'attacco utilizza bot o script per automatizzare il processo di accesso utilizzando credenziali rubate. Questi strumenti possono effettuare migliaia di tentativi di accesso al secondo, consentendo agli autori delle minacce di testare in modo efficiente le credenziali su più piattaforme.

Una volta effettuato l'accesso, l'autore dell'attacco può assumere il controllo dell'account compromesso per muoversi all'interno della rete aziendale. Può sottrarre dati sensibili, interrompere le operazioni e sferrare ulteriori attacchi, senza nemmeno dover ricorrere a un exploit.

Come contrastare gli attacchi di credential stuffing

Nel caso del credential stuffing, i corsi di formazione sulla sicurezza e altre misure preventive non servono a molto: occorre un modo per individuare i tentativi di credential stuffing nel momento stesso in cui avvengono. Spesso, però, l'unica attività sospetta è un improvviso aumento dei tentativi di accesso. E anche in quel caso, è difficile bloccare gli attacchi senza causare disagi agli utenti legittimi.

Il modo migliore per contrastare gli attacchi di credential stuffing è un monitoraggio 24 ore su 24, 7 giorni su 7, supportato da sistemi di rilevamento basati sull'intelligenza artificiale, come quelli offerti da Vectra AI. Ad esempio, quando un vero e proprio hacker ha tentato di accedere all'ambiente Microsoft SaaS di un'organizzazione globale, ha innescato diversi Vectra AI , tra cui un accesso sospetto a Entra ID e un utilizzo insolito del motore di scripting. Questi rilevamenti hanno spinto il team MXDR di Vectra a segnalare l'incidente ai livelli superiori e a bloccare l'attacco prima ancora che iniziasse. 

Scopri come Vectra MXDR ha bloccato un attacco di credential stuffing

Dai un'occhiata alla nostra analisi dell'attacco qui sotto per scoprire cosa è successo quando un hacker reale ha tentato di infiltrarsi nell'ambiente Vectra AI utilizzando la tecnica del credential stuffing.