Une nouvelle plateforme de cybercriminalité nommée « Atlantis AIO » fournit un service automatisé de bourrage d’identifiants contre 140 plateformes en ligne, y compris des services de messagerie électronique, des sites de commerce électronique, des banques et des VPN.
Plus précisément, Atlantis AIO comprend des modules préconfigurés pour ces services afin d’effectuer des attaques par force brute, de contourner les CAPTCHAs, d’automatiser les processus de récupération de compte et de monétiser les informations d’identification/comptes volés.
Remplissage et automatisation des informations d’identification
Le bourrage d’informations d’identification est un type de cyberattaque où les acteurs de la menace essaient une liste d’informations d’identification (noms d’utilisateur + mots de passe) qu’ils ont volées ou obtenues à partir de fuites de données contre des plateformes dans l’espoir d’accéder à des comptes.
Si les informations d’identification correspondent et que le compte n’est pas protégé par l’authentification multifacteur, ils peuvent le détourner, verrouiller le propriétaire légitime, puis abuser ou revendre le compte à d’autres.
Ce type d’attaque est populaire et répandu, avec de grandes attaques de bourrage d’informations d’identification qui se produisent quotidiennement. Au fil des ans, ces attaques ont eu un impact sur des marques et des services tels que Okta, Roku, Chick-fil-A, Hot Topic, PayPal, Pet Smart et 23andMe.
Les acteurs de la menace mènent généralement des attaques de bourrage d’informations d’identification à l’aide d’outils gratuits, tels que Open Bullet 2 et SilverBullet, ainsi que des « configurations » prédéfinies partagées sur les forums de cybercriminalité.
Remplissage des informations d’identification en tant que Service
Atlantis AIO est une nouvelle plate-forme CSaaS (Credential Stuffing as a Service) qui permet aux cybercriminels de payer pour un abonnement et d’automatiser ces types d’attaques.
Le service de cybercriminalité Atlantis AIO a été découvert par Abnormal Security, qui indique qu’il est capable de cibler plus de 140 services en ligne dans le monde entier. Les services ciblés incluent Hotmail, AOL, Mail.ru, Mail.com, Gmx, Arrêt des ailes, Ailes sauvages de Buffle et Safeway.
Atlantis AIO est un outil modulaire qui donne aux attaquants la possibilité de lancer des attaques sur mesure, avec ses trois modules principaux étant:
- Test de compte de messagerie-Automatise les tentatives de force brute et de prise de contrôle sur les plates-formes de messagerie populaires telles que Hotmail, Yahoo et Mail.com, permettant aux attaquants de prendre le contrôle du compte et d’accéder aux boîtes de réception pour le phishing ou le vol de données.
- Attaques par force brute-Parcourt rapidement les mots de passe courants ou faibles sur des plates-formes ciblées pour déchiffrer les comptes avec une mauvaise hygiène des mots de passe.
- Récupération de compte-Exploite les processus de récupération de compte (par exemple, sur eBay, Yahoo), contourne les CAPTCHAs et automatise les reprises à l’aide d’outils tels que la « Récupération automatique du Doxer » pour une exploitation plus rapide et plus efficace des informations d’identification.
Une fois que les cybercriminels ont accès aux comptes, ils les vendent souvent en vrac, répertoriant des centaines, voire des milliers de comptes compromis à vendre sur des forums clandestins.
D’autres menaces les acteurs de la menace créent des boutiques où ils vendent des comptes volés pour aussi peu que 0,50 USD par compte.
Défense contre le bourrage d’informations d’identification
Les attaques de bourrage d’informations d’identification peuvent être contrecarrées si vous utilisez des mots de passe forts et uniques et une authentification multifacteur sur chaque site sur lequel vous avez un compte.
L’authentification multifacteur est essentielle, car même si les informations d’identification sont compromises, les auteurs de menaces ne pourront pas se connecter sans voler également les informations MFA.
Si vous recevez des rapports de services en ligne sur des connexions inhabituelles à partir d’emplacements étranges ou des courriels de réinitialisation de mot de passe inattendus, vous devez immédiatement vérifier si vos informations d’identification ont été compromises.
Les sites Web peuvent aider à arrêter ces attaques en mettant en œuvre une limitation du débit et une limitation des adresses IP, en utilisant des énigmes CAPTCHA avancées et en surveillant les comportements suspects.