Editor Top
Una campaña de ataque de fuerza bruta de una semana de actores maliciosos ha alcanzado proporciones gigantescas, según una organización de seguridad sin fines de lucro.
La Fundación Shadowserver Informes que la campaña, que ha estado en curso desde enero, implica hasta 2.8 millones de direcciones IP diariamente, dirigidas a dispositivos VPN, firewalls y puertas de enlace de proveedores como Palo Alto Networks, Ivanti y Sonicwall.
«La reciente ola de ataques de la fuerza bruta dirigida a los dispositivos de seguridad de borde, según lo informado por ShowowServer, es una grave preocupación para los equipos de ciberseguridad», dijo Brent Maynard, director senior de tecnología de seguridad y estrategia de Tecnologías de Akamaiun proveedor de servicios de red de entrega de contenido, en Cambridge, Mass.
«Lo que hace que este ataque se destaque es su escala, millones de IP únicas que intentan acceso diariamente, y el hecho de que está llegando a una infraestructura de seguridad crítica como firewalls, VPN y puertas de enlace seguras», dijo Maynard a Technewsworld.
“Estos no son cualquier dispositivo. Son las defensas de primera línea que protegen a las organizaciones de amenazas externas. Si un atacante gana control sobre ellos, puede pasar por alto los controles de seguridad por completo, lo que lleva a violaciones de datos, espionaje o incluso ataques destructivos «.
En un ataque de fuerza bruta, las ondas de contraseñas y nombres de usuario inundan un objetivo de inicio de sesión en un intento por descubrir credenciales de inicio de sesión válidas. Los dispositivos comprometidos pueden usarse para robo de datos, integración de botnet o acceso ilegal de red.
La amenaza masiva de botnet se intensifica
“Este tipo de actividad de botnet no es nueva. Sin embargo, la escala es preocupante «, observó Thomas Richards, director de práctica de la red y del equipo rojo Software de pato negrouna compañía de seguridad de aplicaciones en Burlington, Mass.
«Dependiendo del tipo de dispositivo comprometido, los atacantes podrían aprovechar su acceso para deshabilitar el acceso a Internet a la organización, interrumpir las redes comunicadas o facilitar su propio acceso dentro de la red», dijo Richards a Technewsworld. «El ataque, incluso si no tiene éxito en obtener acceso a los dispositivos, puede causar daño al intentar demasiados intentos de inicio de sesión y tener cuentas válidas bloqueadas».
Patrick Tiquet, vicepresidente de seguridad y arquitectura en Seguridad del guardiánuna compañía de administración de contraseñas y almacenamiento en línea con sede en Chicago, explicó que los ataques de fuerza bruta son significativos porque explotan las contraseñas débiles o reutilizadas, una de las vulnerabilidades más persistentes en ciberseguridad.
«Más allá de la pérdida inmediata de datos, estas infracciones pueden interrumpir las operaciones, dañar la reputación de una organización y erosionar la confianza de los clientes, lo que lleva a consecuencias financieras y de seguridad a largo plazo», dijo a Technewsworld.
Erich Kron, un defensor de la conciencia de seguridad en KnowBe4un proveedor de capacitación de concientización sobre seguridad en Clearwater, Florida, agregó que la fuente de estos ataques es millones de dispositivos más pequeños repartidos por todo el mundo, lo que los hace extremadamente difíciles de defenderse.
«Muchos consumidores tienen dispositivos viejos y obsoletos en sus hogares que se conectan a Internet», dijo Kron a Technewsworld. «Estos dispositivos vulnerables están siendo explotados y utilizados para impulsar ataques cibernéticos como este».
«Los enfoques tradicionales, como el geoblocking y la eliminación de grandes bloques de direcciones IP, en realidad podrían bloquear el tráfico web legítimo, costando las ventas de algunas organizaciones y apareciendo como si el sitio web se reduzca a clientes potenciales», dijo.
Los ataques basados en credenciales abruman las defensas
Kris Bondi, CEO y cofundador de Mimotouna compañía de detección y respuesta de amenazas en San Francisco, afirmó que la campaña expuesta por Shadowserver destaca la vulnerabilidad de las credenciales, incluso en las organizaciones de seguridad e infraestructura.
«Los ataques de fuerza bruta están automatizados, por lo que se implementan a escala», dijo Bondi a Technewsworld. “No se trata de si pueden entrar con este enfoque. La pregunta es cuántas veces la organización será penetrada de esta manera, y el equipo de seguridad sabrá cuándo sucede «.
Maynard de Akamai explicó: “Los atacantes ya no necesitan sentarse en un teclado adivinando contraseñas. Implementan botnets masivos que pueden probar miles de credenciales en minutos ”.
«Utilizando un ataque llamado Presentante de contraseña, los atacantes pueden usar un nombre de usuario o dirección de correo electrónico conocido y combinarlo con decenas de miles de contraseñas más comunes con software que luego intentarán iniciar sesión en varios dispositivos expuestos», agregó Kron de KnowBe4. «Con varios millones de dispositivos disponibles para intentar estos inicios de sesión, la tasa de éxito puede ser alta».
Bondi señaló que el número y el tamaño de los ataques de fuerza bruta están aumentando. «La automatización y la IA generativa han facilitado implementar este tipo de ataque», dijo.
«Están llegando a la gran vulnerabilidad que representan las credenciales», continuó. “Los atacantes saben que si envían suficientes ataques, algún porcentaje pasará. Mientras tanto, los equipos de seguridad están abrumados y no pueden abordar todos los ataques en tiempo real, particularmente sin contexto adicional «.
La explosión de dispositivos conectados a Internet y el uso continuo de credenciales débiles también contribuyen al aumento de los ataques de fuerza bruta.
«Con el trabajo remoto, los dispositivos inteligentes y la adopción de la nube, más organizaciones confían en dispositivos de seguridad de borde a los que deben ser accesibles desde Internet», dijo Maynard. «Esto los convierte en objetivos naturales».
«A pesar de los años de advertencias», agregó, «muchas compañías aún usan contraseñas predeterminadas o débiles, especialmente en dispositivos de infraestructura».
El papel de IA en la defensa y la prevención del ciberataque
Si bien la inteligencia artificial contribuye al aumento de los ataques de la fuerza bruta, también puede frustrarlos. «La IA tiene el potencial de cambiar el juego en la defensa contra la fuerza bruta y los ataques de relleno de credenciales», dijo Maynard.
Señaló que los equipos de seguridad están utilizando soluciones impulsadas por IA para detectar anomalías, analizar el comportamiento y automatizar las respuestas a los ataques.
“La IA es muy buena para detectar anomalías y patrones. Por lo tanto, la IA puede ser muy útil para ver los intentos de inicios de sesión, encontrar un patrón y, con suerte, sugerir formas de filtrar el tráfico ”, explicó Kron.
Jason Soroko, vicepresidente senior de productos en Sectigoun proveedor de certificado digital global, reconoció que la IA podría ayudar a las defensas detectando patrones de inicio de sesión anómalos y actividades sospechosas en tiempo real, pero aconsejó que se priorice primero una fuerte autenticación.
«Si bien la autenticación sólida necesita gestión de identidad para escala y certificados digitales y otros factores de forma asimétrica fuertes necesitan aprovisionamiento y gestión del ciclo de vida, pueden generar beneficios de seguridad muy fuertes», dijo Soroko a Technewsworld.
Sin embargo, Bondi predijo que la IA eventualmente desocupará la necesidad de credenciales. «La IA permite combinar la detección de anomalías con una coincidencia de patrones avanzados para reconocer personas específicas, no credenciales, con tasas significativamente más bajas de falsos positivos», dijo.
AI también puede ayudar a entregar contexto con alertas, lo que permitirá a los equipos de seguridad priorizar y responder más rápido a las alertas verdaderas mientras reduce los falsos positivos, agregó.
«La expectativa es que en el futuro cercano, la IA también podrá ayudar a predecir la intención basada en acciones y técnicas específicas de un ataque», observó Bondi. «Si bien los LLM no son capaces de esto todavía, podrían estar en unos pocos sectores».
