{"id":14012,"date":"2020-05-05T19:32:12","date_gmt":"2020-05-05T19:32:12","guid":{"rendered":"https:\/\/www.le-vpn.com\/es\/?p=14012"},"modified":"2021-03-10T20:42:59","modified_gmt":"2021-03-10T20:42:59","slug":"relleno-de-credenciales","status":"publish","type":"post","link":"https:\/\/www.le-vpn.com\/es\/relleno-de-credenciales\/","title":{"rendered":"Primeras v\u00edctimas del aumento de relleno de credenciales de VPN"},"content":{"rendered":"

Prefacio<\/h3>\n

Esperamos que la informaci\u00f3n compartida en este art\u00edculo pueda ser \u00fatil para los proveedores de servicios VPN y los servicios en l\u00ednea. Hemos tratado de llenarlo con tantos detalles como sea posible para proporcionar una mejor visi\u00f3n de este problema. Si has sido blanco del mismo tipo de ataque y necesitas asesoramiento, no dudes en contactarnos. Estaremos encantados de compartir nuestros conocimientos.<\/p>\n

Introducci\u00f3n<\/h3>\n

Le VPN fue blanco de ataques DDoS en innumerables ocasiones en el pasado, pero hace un par de semanas notamos algo diferente y nuevo para nosotros.<\/p>\n

Otra botnet, que generalmente apunta a nuestro sistema de gesti\u00f3n de clientes, ahora ha cambiado su direcci\u00f3n de ataque a nuestra API. Un r\u00e1pido vistazo a esto mostr\u00f3 que se trataba de un llenado de credenciales. Alguien estaba usando una colecci\u00f3n de credenciales previamente robadas para intentar verificarlas en nuestra base de usuarios.<\/p>\n

Le VPN es principalmente inmune a este vector de ataque, ya que generamos un nombre de usuario \u00fanico para cada nuevo usuario.<\/p>\n

Una excepci\u00f3n es una fracci\u00f3n de nuestros usuarios que migraron a Le VPN desde otro proveedor de VPN sin dicha pol\u00edtica.<\/p>\n

Esto resalta la importancia de utilizar diferentes contrase\u00f1as como acceso individual a m\u00faltiples sitios web y servicios, y que las empresas implementen pol\u00edticas de seguridad de contrase\u00f1as.<\/p>\n

Reflejando el ataque<\/h2>\n

Las solicitudes realizadas por esta botnet eran f\u00e1cilmente identificables, por lo que las hemos separado de las solicitudes API reales. En lugar de pasar por algoritmos API, las solicitudes maliciosas recibieron un mensaje de error est\u00e1ndar y se guardaron en registros para an\u00e1lisis futuros.<\/p>\n

Verificamos a fondo que ninguno de nuestros clientes se vio afectado y que el ataque no representa ning\u00fan peligro para nuestro sistema.<\/p>\n

Con esto en mente, hemos decidido dejarlo en funcionamiento durante un par de d\u00edas para recopilar m\u00e1s datos.<\/p>\n

El ataque persisti\u00f3 al mismo ritmo durante unos d\u00edas y ya era el momento de proceder con la investigaci\u00f3n.<\/p>\n

Nos gustar\u00eda presentarles nuestros hallazgos a continuaci\u00f3n.<\/p>\n

\"Primeras<\/p>\n

Botnet<\/h3>\n

La botnet utilizada para este ataque era relativamente peque\u00f1a: alrededor de 40 000 – 45 000 bots en total<\/strong>. El n\u00famero de bots activos simult\u00e1neamente fue a\u00fan menor, generalmente menos de 10 000. <\/strong><\/p>\n

Seg\u00fan nuestros registros, se utiliz\u00f3 la misma botnet durante toda la duraci\u00f3n de un ataque.<\/p>\n

Los or\u00edgenes de las IP de los bots fueron principalmente chinos (75%), indonesios (4%), tailandeses (4%) y brasile\u00f1os (4%), con fracciones m\u00e1s peque\u00f1as de otros pa\u00edses. La mayor\u00eda de los bots chinos ten\u00edan IP de Chinanet y China Unicom.<\/p>\n

\"Primeras<\/p>\n

Ritmo del Ataque<\/h3>\n

En alg\u00fan momento, hemos decidido medir el ritmo de ataque completo de la botnet. Detuvimos todas las reglas relacionadas de limitaci\u00f3n de velocidad y filtrado de tr\u00e1fico, y comenzamos a absorber todas las solicitudes de botnet.<\/p>\n

Durante eso, la botnet se realiz\u00f3 al ritmo de alrededor de 3 solicitudes por bot por hora<\/strong>. No ha diferido mucho del ritmo habitual con todas las defensas activadas.<\/p>\n

Eso nos hizo pensar que el ritmo de ataque se redujo intencionalmente<\/strong>, para no desencadenar reglas de limitaci\u00f3n de velocidad que pueden resolverse en la prohibici\u00f3n permanente de IP de la botnet. Dicho esto, creemos que este ritmo puede cambiar dependiendo de las defensas del objetivo.<\/p>\n

Seg\u00fan esta estimaci\u00f3n, un atacante con un tama\u00f1o de botnet similar puede realizar aproximadamente 500 000 comprobaciones de credenciales por d\u00eda.<\/strong><\/p>\n

Solicitudes por Credencial<\/h3>\n

Otra observaci\u00f3n que encontramos interesante es la cantidad de solicitudes por credencial. La mayor\u00eda de los pares de nombre de usuario\/contrase\u00f1a se enviaron solo una vez<\/strong> , y una peque\u00f1a parte de ellos se envi\u00f3 dos veces. Esto puede indicar que los intentos se gestionan de forma centralizada y probablemente se sincronizan.<\/p>\n

La Fuente de Credenciales Robadas<\/h2>\n

Otro aspecto de la investigaci\u00f3n fue identificar la fuente de estas credenciales filtradas. Hemos seleccionado una muestra representativa de credenciales utilizadas en este ataque y las hemos buscado cuidadosamente. Casi todas est\u00e1n presentes en la “Colecci\u00f3n”<\/strong> (https:\/\/en.wikipedia.org\/wiki\/Collection_No._1<\/a>) que nos hizo creer que esta era la fuente principal de estos datos.<\/p>\n

Sin embargo, nuestra estimaci\u00f3n aproximada es que un ataque usa alrededor de 10-15 millones de credenciales<\/strong>, no toda la “Colecci\u00f3n”.<\/p>\n

Estimamos que el tiempo total necesario para completar este ataque con el ritmo y el tama\u00f1o del diccionario antes mencionados es de alrededor de 20-30 d\u00edas.<\/strong><\/p>\n

\u00bfQui\u00e9n Est\u00e1 Detr\u00e1s de Todo Eso?<\/h3>\n

Quer\u00edamos ir un paso m\u00e1s all\u00e1 y recopilar m\u00e1s datos sobre el atacante. Por lo tanto, hemos configurado nuestra API para responder aleatoriamente a solicitudes maliciosas con un c\u00f3digo de estado de \u00e9xito. Este enfoque gener\u00f3 una lista de credenciales falsas, que los ciberdelincuentes pueden intentar distribuir o autenticar contra nuestros servidores AAA.<\/p>\n

El objetivo era ver d\u00f3nde aparece esta lista y conectar los puntos. Tan pronto como se hizo, comenzamos a monitorear la web.<\/p>\n

Resultado Inesperado<\/h3>\n

Los resultados fueron r\u00e1pidos e inesperados.<\/p>\n

Hemos encontrado m\u00e1s de 1000 credenciales de VPN<\/strong> supuestamente relacionadas con uno de los grandes proveedores de VPN. Algunas de ellas se publicaron a fines de abril y otros a principios de mayo de 2020. Todas estas credenciales filtradas se distribuyeron p\u00fablicamente de forma gratuita<\/strong> en una comunidad en l\u00ednea relacionada con Ir\u00e1n.<\/p>\n

Inmediatamente enviamos nuestros hallazgos al programa de recompensas de errores del proveedor de VPN y solicitamos a su soporte t\u00e9cnico que notifique al equipo de seguridad cibern\u00e9tica sobre este incidente lo antes posible. Todav\u00eda estamos esperando su reacci\u00f3n.<\/p>\n

\u00bfEl Mismo Ataque?<\/h3>\n

Despu\u00e9s de notificar al proveedor, continuamos con el an\u00e1lisis de los datos filtrados.<\/p>\n

Verificamos las credenciales expuestas y nos sorprendi\u00f3 descubrir que la mayor\u00eda de ellas estaban presentes en la mencionada “Colecci\u00f3n”<\/strong>, la misma fuente de credenciales filtradas que un atacante us\u00f3 contra nuestra API.<\/p>\n

Hab\u00eda algunos registros presentes en otras listas de credenciales violadas; sin embargo, cada credencial que probamos estaba dentro de un conjunto de datos violados u otro.<\/p>\n

Adem\u00e1s, una de las listas de credenciales VPN expuestas conten\u00eda una fecha y hora de vencimiento con minutos y segundos exactos, que se parece a una respuesta API.<\/p>\n

No podemos enumerar el n\u00famero total de credenciales comprometidas, ya que nuevas listas contin\u00faan apareciendo con el correr de los d\u00edas.<\/p>\n

\"Primeras<\/p>\n

C\u00f3mo Termin\u00f3 Todo (por ahora)<\/h3>\n

En Le VPN nos tomamos muy en serio la seguridad y durante cada ataque, por lo tanto, nos preparamos para lo peor.<\/p>\n

La botnet que nos golpe\u00f3 fue relativamente peque\u00f1a, por lo que hemos intentado simular nuestra respuesta para un escenario con una botnet mucho m\u00e1s grande.<\/p>\n

Implic\u00f3 desconectar cualquier conexi\u00f3n con la botnet tan pronto como la identificamos. En este escenario, el atacante no recibe ninguna respuesta de nuestra API, por lo que la carga en nuestros servidores API se minimiza.<\/p>\n

Poco despu\u00e9s de que comenzamos a probar esta soluci\u00f3n en producci\u00f3n, un atacante decidi\u00f3 detener m\u00e1s ataques de relleno de credenciales y lanz\u00f3 un DDoS final, corto y sin \u00e9xito en nuestra interfaz. Los ataques no han vuelto a ocurrir desde entonces.<\/p>\n

Reflexiones Finales<\/h3>\n

A\u00fan quedan muchas preguntas por responder.<\/p>\n

Aunque es muy probable que el origen de la propia botnet se encuentre en China, el grupo o la persona que lo alquil\u00f3 puede estar ubicado en alg\u00fan lugar de Oriente Medio.<\/p>\n

No estamos seguros si el mismo actor ataca m\u00faltiples servicios VPN o si esta es la nueva tendencia adoptada por diferentes grupos.<\/p>\n

Creemos que las cuentas secuestradas pueden distribuirse en pa\u00edses como Ir\u00e1n, donde los niveles de censura son altos y los servicios VPN no est\u00e1n disponibles en su mayor\u00eda debido a restricciones internacionales.<\/p>\n

El objetivo m\u00e1s f\u00e1cil para este tipo de ataque ser\u00e1n los servicios VPN con las mayores bases de usuarios, ya que el n\u00famero de clientes activos aumenta la probabilidad de encontrar credenciales filtradas. Adem\u00e1s, es m\u00e1s f\u00e1cil ocultar la actividad de botnet detr\u00e1s de un mayor n\u00famero de solicitudes de API.<\/p>\n

Todav\u00eda estamos esperando que se tome la acci\u00f3n del servicio VPN cuyas cuentas fueron expuestas. Si no se hace en breve, intentaremos notificar a los usuarios relacionados nosotros mismos.<\/p>\n

Actualizaremos este art\u00edculo si tenemos nuevos detalles sobre este tema.<\/p>\n[vc_row][vc_column]

\"exclusive-deal\"<\/i><\/div><\/div>

OFERTA EXCLUSIVA<\/h3>
<\/span><\/div>
<\/span><\/div><\/div><\/div>

-78% EN PLANES DE 3 AÑOS<\/p>\n<\/div><\/div>

APROVECHA<\/span><\/div>
<\/div><\/a><\/div><\/div>
\n\t
\n\t\t
\n\t\t\t

\n\t\t
\n\t\t\t

\n\t
\n\t\t
\n\t\t\t

\n\t\t
\n\t\t\t

\n\t
\n\t\t
\n\t\t\t

\n\t\t
\n\t\t\t

\n\t
\n\t\t
\n\t\t\t

\n\t\t
\n\t\t\t

<\/div><\/div><\/div><\/div>\r\n<\/div>[\/vc_column][\/vc_row]<\/div>","protected":false},"excerpt":{"rendered":"

Prefacio Esperamos que la informaci\u00f3n compartida en este art\u00edculo pueda ser \u00fatil para los proveedores de servicios VPN y los servicios en l\u00ednea. Hemos tratado de llenarlo con tantos detalles como sea posible para proporcionar una mejor visi\u00f3n de este problema. Si has sido blanco del mismo tipo de ataque y necesitas asesoramiento, no dudes<\/p>\n","protected":false},"author":4,"featured_media":14018,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_metadesc":"Le VPN informa una tendencia de ataques de relleno de credenciales dirigidas a servicios VPN y descubre m\u00e1s de 1000 inicios de sesi\u00f3n de usuarios filtrados de un gran proveedor de VPN.","footnotes":""},"categories":[599],"tags":[],"yst_prominent_words":[8937,1919,8931,7603,8930,8935,703,8934,8936,6189,8932,8941,8940,8933,4291,8929,8938,8939,8595,2929],"class_list":["post-14012","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-blog_old"],"_links":{"self":[{"href":"https:\/\/www.le-vpn.com\/es\/wp-json\/wp\/v2\/posts\/14012","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.le-vpn.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.le-vpn.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.le-vpn.com\/es\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/www.le-vpn.com\/es\/wp-json\/wp\/v2\/comments?post=14012"}],"version-history":[{"count":2,"href":"https:\/\/www.le-vpn.com\/es\/wp-json\/wp\/v2\/posts\/14012\/revisions"}],"predecessor-version":[{"id":14017,"href":"https:\/\/www.le-vpn.com\/es\/wp-json\/wp\/v2\/posts\/14012\/revisions\/14017"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.le-vpn.com\/es\/wp-json\/wp\/v2\/media\/14018"}],"wp:attachment":[{"href":"https:\/\/www.le-vpn.com\/es\/wp-json\/wp\/v2\/media?parent=14012"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.le-vpn.com\/es\/wp-json\/wp\/v2\/categories?post=14012"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.le-vpn.com\/es\/wp-json\/wp\/v2\/tags?post=14012"},{"taxonomy":"yst_prominent_words","embeddable":true,"href":"https:\/\/www.le-vpn.com\/es\/wp-json\/wp\/v2\/yst_prominent_words?post=14012"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}