Un grupo de hackers rusos está lanzando ciberataques para robar credenciales de usuarios de la menos 85 empresas. Los objetivos incluyen Amazon, American Airlines, AT&T, Best Buy, Wells Fargo, DropBox, Dunking Donuts, Ebay, GoDaddy, Uber, Match.com, McDonald’s, Office Depot, PayPal, Pizza Hut, Steam y Apple Pay, entre otros.
Los archivos de configuración que se están utilizando en los ataques fueron interceptados por un grupo privado de seguridad de la darknet, el cual brindó copias de los archivos a La Gran Época. Todavía no hay muchos datos sobre quiénes están detrás de los ataques, aunque parecen ser hackers comunes, no relacionados con operaciones gubernamentales. En sus conversaciones online hablaban en ruso y estaban utilizando servidores rusos.
Ed Alexander, investigador de la darknet que brindó la información, dijo que en los ataques contra Apple Pay, en particular, vio a los hackers “capturar números de tarjetas e identidades completas”, que también incluían respuestas a las preguntas personales que los usuarios deben responder para recuperar sus contraseñas.
“Cuando vi el archivo por primera vez a principios de esta semana, saqué el Apple Pay de mi iPhone”, dijo.
Con respecto a los ataques que apuntan a Steam, una de las plataformas de videojuegos más populares con un estimado de 125 millones de usuarios activos, se vio a los hackers rusos robando emails y contraseñas de los usuarios. Al ingresar a las cuentas, los hackers tuvieron acceso a los ítems virtuales en las cuentas de cada usuario, los cuales pueden vender a cambio de monedas virtuales o en sitios web de subastas online a cambio de dinero real.
Los hackers tenían archivos para el ciberataque adaptados a cada empresa que atacaban, y Alexander nos pudo entregar copias de los archivos utilizados en el ataque. Estos eran configuraciones individuales para una herramienta de crackeo del mercado negro conocida como Sentry MBA.
Sentry MBA utiliza lo que se conoce como “credential stuffing”, que se aprovecha de los usuarios que utilizan el mismo nombre de usuario y contraseña en varios sitios web. Si un sitio web es filtrado y, por ejemplo, 10.000 credenciales de usuarios del sitio hackeado son vendidas en sitios webs para hackers, los piratas informáticos pueden comprar estas cuentas y usarlas con Sentry MBA para probar si estos datos de acceso funcionan en otros sitios o servicios.
La herramienta Sentry MBA ha reemplazado en general a métodos más antiguos de “fuerza bruta”, que generan contraseñas al azar a escala masiva hasta que encuentran la clave correcta para una cuenta.
Los archivos de configuración personalizados de Sentry MBA utilizados por los hackers rusos están diseñados para evadir protocolos de seguridad que son únicos de cada sitio –como el CAPTCHA que se asegura que los ingresos sean de humanos y no de robots, y los sistemas que se bloquean cuando hay múltiples intentos por acceder.
Sentry MBA es extremadamente efectivo, ya que es común que la gente utilice el mismo nombre de usuario y contraseña en varios servicios. Por ejemplo, en 2010, los datos de cerca de 1,5 millones de usuarios fueron publicados online después de una filtración en Gawker; y en 2011, se hackeó la información de más de 93.000 usuarios de la PlayStation Network de Sony. Según la comunidad de seguridad de software OWASP, cerca de dos tercios de los usuarios del ataque a Sony usaban las mismas credenciales en Gawker.
Cómo puede usted ayudarnos a seguir informando
¿Por qué necesitamos su ayuda para financiar nuestra cobertura informativa en Estados Unidos y en todo el mundo? Porque somos una organización de noticias independiente, libre de la influencia de cualquier gobierno, corporación o partido político. Desde el día que empezamos, hemos enfrentado presiones para silenciarnos, sobre todo del Partido Comunista Chino. Pero no nos doblegaremos. Dependemos de su generosa contribución para seguir ejerciendo un periodismo tradicional. Juntos, podemos seguir difundiendo la verdad.
