Tecniche sempre più sofisticate per il furto di credenziali, il report di F5

La terza edizione di Credential Stuffing Report analizza l’intero ciclo di vita dell’abuso delle credenziali.

Tecniche furto credenziali F5

Per il report F5 le tecniche di attacco per il furto delle credenziali sono sempre più sofisticate e aumenta il numero degli incidenti. Le tecniche di credential stuffing, che comportano lo sfruttamento di grandi volumi di coppie di username e/o email e password compromesse, è un problema crescente. Lo scorso anno un alert rilasciato dall’FBI e indirizzato al settore privato avvertiva della minaccia di un volume crescente di incidenti di sicurezza nel settore finanziario statunitense, cresciuto del 41% tra il 2017 e il 2020.

Scarsa memorizzazione delle password – Credenziali di rete

Nonostante un crescente consenso sulla necessità di adottare pratiche sicure, un aspetto fortemente evidenziato dal report è come la mancanza di cura e conservazione delle password continui a rappresentare una criticità. Anche se la maggior parte delle organizzazioni non rivela i propri algoritmi di hashing delle password, F5 è riuscita a studiare 90 incidenti specifici per ipotizzare quali possano essere stati i colpevoli della sottrazione delle credenziali.

Tecniche furto credenziali F5

Negli ultimi tre anni, il 42,6% delle credenziali sottratte non aveva alcuna protezione e le password erano memorizzate in chiaro. Un ulteriore 20% delle credenziali sottratte sfruttavano l’algoritmo di hashing delle password SHA-1 senza salt. Ovvero erano prive di un valore unico che può essere aggiunto alla fine della password per creare un valore di hash diverso. Una terza tipologia riguardava l’algoritmo con salt bcrypt con il 16,7% delle sottrazioni. Sorprendentemente, l’ampiamente screditato algoritmo di hashing, MD5, è stato identificato solo in una piccola percentuale di credenziali sottratte anche quando gli hash erano con salt (0,4%).

Credenziali di accesso

Un’altra osservazione degna di nota in questa edizione del report è che gli hacker utilizzano sempre più tecniche di ‘fuzzing’ per ottimizzare le possibilità di raggiungere il successo. Il fuzzing è il processo che permette di trovare vulnerabilità di sicurezza nel codice di input-parsing testando ripetutamente il parser con input modificati. F5 ha scoperto che la maggior parte degli attacchi di fuzzing si sono verificati proprio prima del rilascio pubblico delle credenziali compromesse, il che suggerisce che la pratica sia più che comune nel caso di attacchi sofisticati.

Rilevamento della sottrazione dei dati – Credenziali di autenticazione

L’edizione del 2018 del Credential Stuffing Report evidenziava come ci volessero in media 15 mesi prima che la notizia di una perdita di credenziali diventasse di dominio pubblico. Questo dato è migliorato negli ultimi tre anni e il tempo medio per rilevare gli incidenti, con la data esatta dell’attacco e della scoperta, ora è di circa undici mesi. Tuttavia, questo dato è distorto da un piccolo numero di incidenti con delle tempistiche di rilevamento dilatate fino a tre anni o più. Il tempo medio in cui vengono rivelati gli incidenti è di 120 giorni. È importante notare che la fuga di dati viene spesso vista prima sul dark web che dalle organizzazioni che hanno subito la violazione.

Infatti, l’annuncio della sottrazione dei dati coincide tipicamente con la comparsa delle credenziali sui forum del Dark Web. Nell’edizione di quest’anno del report, F5 ha analizzato specificamente il periodo cruciale che intercorre tra il furto di credenziali e la loro pubblicazione sul Dark Web. I ricercatori hanno condotto un’analisi storica utilizzando un campione di quasi nove miliardi di credenziali ottenute durante migliaia di violazioni di dati diversi, denominato “Collection X”. Le credenziali sono state pubblicate sui forum del Dark Web all’inizio di gennaio 2019.

Tecniche furto credenziali F5- Le cinque fasi nell’abuso delle credenziali

In base a quanto rilevato, F5 ha identificato cinque fasi distinte di abuso di credenziali:

  • 1 Slow & Quiet. Le credenziali compromesse sono state utilizzate in modo furtivo fino al mese prima della pubblicazione. In media, ogni credenziale è stata usata 15-20 volte al giorno negli attacchi contro i quattro clienti.
  • 2 Impennata. Nei 30 giorni che precedono l’annuncio pubblico, F5 ha scoperto che le credenziali circolavano sul Dark Web. Altri hacker hanno guadagnato l’accesso alle credenziali, ed è per questo che da allora il numero di attacchi al giorno è aumentato costantemente.
  • 3 Blitz. Quando le credenziali sono diventate di dominio pubblico, gli “script kiddies” e altri dilettanti hanno iniziato a usarle sulle piattaforme più importanti. La prima settimana è stata particolarmente attiva, con ogni account attaccato in media oltre 130 volte al giorno.
  • 4 Calo/nuovo equilibrio. Dopo il primo mese, F5 ha identificato un nuovo equilibrio con circa 28 attacchi per username al giorno. È interessante notare che il dato è comunque superiore allo status quo originale di 15 attacchi durante la fase “Slow & Quiet”. Ed è dovuto alcuni hacker alle prime armi che prendono ancora di mira aziende di alto valore con credenziali datate.
  • 5 Reincarnazione. Dopo aver condotto attacchi di credential stuffing su una varietà di piattaforme e siti, un sottoinsieme di criminali ha iniziato a riconfezionare le credenziali valide per estendere la loro vita in modo da poterle sfruttare per nuovi tipi di attacco.