Поставщик услуг управления идентификацией и доступом (IAM) Okta предупредил о резком росте "частоты и масштабов" атак со взломом учетных данных, направленных на онлайн-сервисы.
Считается, что этим беспрецедентным атакам, наблюдавшимся в течение последнего месяца, способствует "широкая доступность услуг прокси-серверов, списков ранее украденных учетных данных ("комбинированных списков") и скриптовых инструментов", - сказала компания в предупреждении, опубликованном в субботу.
Выводы основаны на недавней рекомендации Cisco, которая предупредила о глобальном всплеске атак методом перебора, нацеленных на различные устройства, включая службы виртуальной частной сети (VPN), интерфейсы аутентификации веб-приложений и службы SSH, по крайней мере, с 18 марта 2024 года.
"Все эти атаки, по-видимому, происходят с выходных узлов TOR и ряда других анонимизирующих туннелей и прокси-серверов", - отметил тогда Талос, добавив, что целями атак являются устройства VPN от Cisco, Check Point, Fortinet, SonicWall, а также маршрутизаторы от Draytek, MikroTik и Ubiquiti.
Okta заявила, что ее исследование угроз идентификации выявило всплеск активности по вбросу учетных данных в учетные записи пользователей с 19 по 26 апреля 2024 года, вероятно, из аналогичной инфраструктуры.
Взлом учетных данных - это тип кибератаки, при котором учетные данные, полученные в результате утечки данных в одном сервисе, используются для попытки входа в другой несвязанный сервис.
В качестве альтернативы, такие учетные данные могут быть извлечены с помощью фишинговых атак, которые перенаправляют жертв на страницы сбора учетных данных, или с помощью кампаний вредоносного ПО, которые устанавливают средства для кражи информации в скомпрометированных системах.
"Все недавние атаки, которые мы наблюдали, имеют одну общую черту: они основаны на запросах, перенаправляемых через анонимизирующие сервисы, такие как TOR", - сказали в Okta.
"Миллионы запросов также были направлены через различные локальные прокси-серверы, включая NSOCKS, Luminati и DataImpulse".
Локальные прокси (RESIP) относятся к сетям законных пользовательских устройств, которые используются не по назначению для маршрутизации трафика от имени платных подписчиков без их ведома или согласия, тем самым позволяя субъектам угрозы скрывать свой вредоносный трафик.
Обычно это достигается путем установки прокси-программ на компьютеры, мобильные телефоны или маршрутизаторы, фактически регистрируя их в ботнете, который затем сдается в аренду клиентам сервиса, желающим анонимизировать источник своего трафика.
"Иногда пользовательское устройство подключается к прокси-сети, потому что пользователь сознательно выбирает загрузку "прокси-ПО" на свое устройство в обмен на оплату или что-то еще ценное", - объяснила Okta.
"В других случаях пользовательское устройство заражается вредоносным ПО без ведома пользователя и становится участником того, что мы обычно называем ботнетом".
В прошлом месяце команда Satori Threat Intelligence компании HUMAN выявила более двух десятков вредоносных VPN-приложений для Android, которые превращают мобильные устройства в RESIP с помощью встроенного комплекта разработки программного обеспечения (SDK), включающего функциональность proxyware.
"Итогом этой деятельности является то, что большая часть трафика в этих атаках со взломом учетных данных, по-видимому, исходит от мобильных устройств и браузеров обычных пользователей, а не из IP-пространства VPS-провайдеров", - сказали в Okta.
Чтобы снизить риск захвата учетных записей, компания рекомендует организациям принуждать пользователей переходить на надежные пароли, включать двухфакторную аутентификацию (2FA), отклонять запросы, исходящие из мест, где они не работают, и IP-адресов с плохой репутацией, и добавить поддержку ключей доступа.
Считается, что этим беспрецедентным атакам, наблюдавшимся в течение последнего месяца, способствует "широкая доступность услуг прокси-серверов, списков ранее украденных учетных данных ("комбинированных списков") и скриптовых инструментов", - сказала компания в предупреждении, опубликованном в субботу.
Выводы основаны на недавней рекомендации Cisco, которая предупредила о глобальном всплеске атак методом перебора, нацеленных на различные устройства, включая службы виртуальной частной сети (VPN), интерфейсы аутентификации веб-приложений и службы SSH, по крайней мере, с 18 марта 2024 года.
"Все эти атаки, по-видимому, происходят с выходных узлов TOR и ряда других анонимизирующих туннелей и прокси-серверов", - отметил тогда Талос, добавив, что целями атак являются устройства VPN от Cisco, Check Point, Fortinet, SonicWall, а также маршрутизаторы от Draytek, MikroTik и Ubiquiti.
Okta заявила, что ее исследование угроз идентификации выявило всплеск активности по вбросу учетных данных в учетные записи пользователей с 19 по 26 апреля 2024 года, вероятно, из аналогичной инфраструктуры.
Взлом учетных данных - это тип кибератаки, при котором учетные данные, полученные в результате утечки данных в одном сервисе, используются для попытки входа в другой несвязанный сервис.
В качестве альтернативы, такие учетные данные могут быть извлечены с помощью фишинговых атак, которые перенаправляют жертв на страницы сбора учетных данных, или с помощью кампаний вредоносного ПО, которые устанавливают средства для кражи информации в скомпрометированных системах.
"Все недавние атаки, которые мы наблюдали, имеют одну общую черту: они основаны на запросах, перенаправляемых через анонимизирующие сервисы, такие как TOR", - сказали в Okta.
"Миллионы запросов также были направлены через различные локальные прокси-серверы, включая NSOCKS, Luminati и DataImpulse".
Локальные прокси (RESIP) относятся к сетям законных пользовательских устройств, которые используются не по назначению для маршрутизации трафика от имени платных подписчиков без их ведома или согласия, тем самым позволяя субъектам угрозы скрывать свой вредоносный трафик.
Обычно это достигается путем установки прокси-программ на компьютеры, мобильные телефоны или маршрутизаторы, фактически регистрируя их в ботнете, который затем сдается в аренду клиентам сервиса, желающим анонимизировать источник своего трафика.
"Иногда пользовательское устройство подключается к прокси-сети, потому что пользователь сознательно выбирает загрузку "прокси-ПО" на свое устройство в обмен на оплату или что-то еще ценное", - объяснила Okta.
"В других случаях пользовательское устройство заражается вредоносным ПО без ведома пользователя и становится участником того, что мы обычно называем ботнетом".
В прошлом месяце команда Satori Threat Intelligence компании HUMAN выявила более двух десятков вредоносных VPN-приложений для Android, которые превращают мобильные устройства в RESIP с помощью встроенного комплекта разработки программного обеспечения (SDK), включающего функциональность proxyware.
"Итогом этой деятельности является то, что большая часть трафика в этих атаках со взломом учетных данных, по-видимому, исходит от мобильных устройств и браузеров обычных пользователей, а не из IP-пространства VPS-провайдеров", - сказали в Okta.
Чтобы снизить риск захвата учетных записей, компания рекомендует организациям принуждать пользователей переходить на надежные пароли, включать двухфакторную аутентификацию (2FA), отклонять запросы, исходящие из мест, где они не работают, и IP-адресов с плохой репутацией, и добавить поддержку ключей доступа.
