Okta ha rilevato un notevole aumento degli attacchi credential stuffing nelle ultime settimane. I cybercriminali prendono di mira le soluzioni di gestione dell’identità e degli accessi dell’azienda californiana. Tali attività sono state segnalate anche dagli esperti di Cisco Talos a metà aprile.
Tor e proxy residenziali
Tra il 18 marzo e il 16 aprile 2024, Cisco Talos ha rilevato numerosi attacchi brute force contro vari servizi VPN e SSH. Lo scopo è accedere alle reti aziendali o causare DoS (Denial of Service). Tra il 19 e il 26 aprile 2024, il team Identity Threat Research di Okta ha osservato un notevole aumento di attacchi credential stuffing contro gli account degli utenti provenienti dalla stessa infrastruttura.
Un attacco credential stuffing prevede l’uso di credenziali (username e password) ottenute da precedenti data breach o tramite phishing per cercare di accedere agli account (in questo caso gestiti da Okta). Tutti gli attacchi recenti sono stati effettuati sfruttando Tor o altri servizi di anonimizzazione e vari proxy residenziali, tra cui NSOCKS e DataImpulse.
I proxy residenziali sono reti formate da legittimi dispositivi. Gli utenti hanno installato un proxy intenzionalmente in cambio di denaro o sono stati infettati tramite malware. Il traffico proviene da indirizzi IP innocui che non vengono bloccati, quindi l’attacco ha maggiori probabilità di successo.
Okta ha pubblicato una serie di consigli per rilevare e bloccare questo tipo di attacchi, sia tramite i tool forniti ai clienti che tramite tradizionali misure preventive, come l’uso di password robuste o passkey e l’attivazione dell’autenticazione multi-fattore.