По данным исследователей, в теневом сообществе «RaidForums» появилась «компиляции многих взломов» - «COMB» для краткости. Так называемый COMB содержит ошеломляющие 3,27 миллиарда уникальных комбинаций адресов электронной почты и паролей в текстовом формате.
Этот «клад» представляет собой агрегированную базу данных, которая объединяет украденные данные из прошлых взломов, включая учетные данные Netflix, LinkedIn, Exploit и других. COMB (это имя было дано тем, кто разместил его в интернете) впервые было обнародован 2 февраля пользователем под именем «Singularity0x01», сообщают исследователи.
«2 февраля 2020 года пользователь Singularity0x01 создал тему на популярном англоязычном форуме киберпреступников RaidForums под названием «Compilation of Many Breaches (COMB) 3,8Billion (Public)», - заявил Иван Риги, аналитик по изучению киберугроз в Digital Shadows.
Он добавил: «Singularity0x01 заявил, что эта коллекция была создана на основе предыдущей компиляции нарушений, которая содержала 1,4 миллиарда записей, и что ее содержимое было в основном общедоступным для членов теневого сообщества. Пользователь также сообщил, что данные представлены в алфавитном порядке и в древовидной структуре».
Для просмотра ссылки на защищенный паролем .ZIP-файл, содержащий данные, пользователям форума было предложено потратить 8 кредитов RaidForums (около $2). Затем они могут использовать встроенный инструмент для поиска и сортировки информации, чтобы найти и извлечь нужные им данные.
Насколько опасна база COMB?
Сама по себе информация была не очень хорошо воспринята теневым сообществом, отметил Риги.
«Некоторые пользователи утверждали, что файлы повреждены, файлы отсутствуют, общее количество учетных данных меньше, чем рекламируется, а данные низкого качества», - пояснил он. Все это привело к тому, что Singularity0x01 получил отрицательный репутационный рейтинг на подпольном форуме.
«Singularity0x01 также создал две идентичные темы на форуме, что привело к тому, что некоторые пользователи потратили свои «кредиты» дважды», - заявил исследователь. «Singularity0x01 был навсегда забанен в RaidForums 08 февраля 2021 года за «утечку скрытого контента», хотя модераторы сайта не предоставили никакой дополнительной информации».
Дастин Уоррен, старший исследователь безопасности SpyCloud, также взглянул на данные и определил, что выложенные учетки уже некоторое время «циркулируют» в Darknet.
«Цифра в 3,2 миллиарда сама по себе выглядит ошеломляюще, но мы должны помнить что «качество бьет количество», - сообщил он изданию Threatpost. «Данные, похоже, полны учетных записей, которые были частью ранее известных утечек. На самом деле, это выглядит как «переиздание» подобной утечки 2019 года, списка «Anti Public Combo» 2016 года и, возможно, других «компиляций», но перевыпущенных с некоторыми инструментами для избавления от дублей, сортировки и разбора данных, чтобы сделать базу более простой в использовании. Другими словами, здесь нет ничего нового».
Грядут атаки с перебором учетных данных
Данные могут быть старыми, но они не лишены значимости. Благодаря использованию одинаковых паролей хакеры могут использовать базу для проведения брутфорс-атак или атак перебором учетных записей и попытаться с помощью нее украсть аккаунты любого типа. И из-за этого потенциальные последствия «утечки» становятся заметными.
«Это важное напоминание о том, что старые пароли могут возвращаться в виде угрозы пользователям, которые повторно используют их в различных учетных записях, поэтому даже старые данные могут быть полезны злоумышленникам», - сообщил Уоррен. «Без сомнения, злоумышленники будут проводить атаки с использованием этих данных, поэтому любые учетные записи, использующие повторяющиеся логины и пароли, могут оказаться под угрозой».
Онлайн-банкинг, социальные медиа, порталы здравоохранения и другие учетные сервисы содержат множество информации, которая может быть использована для мошенничества или, например, для проведения убедительных фишинговых атак. Кроме того, скомпрометированные рабочие логины и учетные записи электронной почты могут привести к утечкам конфиденциальной деловой информации.
Как снизить риски?
Как всегда, реализация многофакторной аутентификации (МФА) и поддержание хорошей гигиены паролей (надежные, уникальные пароли для всех учетных записей и регулярная ротация паролей) может предотвратить большую часть потенциальных последствий этого инциденте.
«Значительное число связанных со взломом утечек учетных данных все еще вызвано слабыми паролями и отсутствием МФА», - заявил изданию Threatpost Теренс Джексон, директор по информационной безопасности компании Thycotic. «Использование менеджера паролей и МФА по-прежнему являются двумя лучшими способами защиты онлайн-аккаунтов от брутфорс-атак».
Хотя МФА может предотвратить прямое использование учетных данных на таких сервисах, как Office 365, важно помнить, что MFA - это не стопроцентное решение всех проблем.
«Простые пароли все равно были бы полезны в сочетании с некоторыми другими скомпрометированными активами, так как это позволило бы атакующему преодолеть МФА», - заявил изданию Threatpost Оливер Таваколи, технический директор Vectra. «Конечно, это указывает на критичность включения требования МФА для любой аутентификации - особенно для таких служб как Office 365, к которым есть прямой доступ из Интернета».
Перевод сделан со статьи: https://threatpost.com