Más que 500 mil credenciales de sistemas internos 25 desarrolladores de juegos filtraron y fueron encontrado vendido en foros rusos el año pasado, informa a los investigadores de seguridad de la información israelí, Kela.
Kela investigó las 25 empresas que cotizan en bolsa más grandes del sector, ordenadas por ingresos según la última mitad de 2019. Con el estudio, encontró casi un millón de cuentas de clientes y empleados comprometidas, con más de la mitad de ellos vendidos en la darkweb.
Las empresas fueron encargadas por Newzoo, un consultor de datos de mercado en el mundo del juego. Tencent; Sony; Manzana; Microsoft; Nintendo; Google; Tormenta de nieve; Electronic Arts (EA); Bandai Namco; Warner Bros; Ubisoft; Square Enix; Nexon; NCSoft; Konami; Mundo perfecto; Sega y Zynga se encuentran entre las 25 empresas que cotizan en bolsa.
Los investigadores de Kela han identificado cuentas de empleados y credenciales internas de paneles administrativos, VPN, herramientas de gestión del trabajo como Slack, Trello y Jira, protocolos de transferencia de archivos (FTP), cuentas de autenticación única (SSO), entornos de desarrollo de juegos y otros, se vende a precios bajos.
“Detectamos cuentas comprometidas para recursos internos de casi todas las empresas en cuestión. Estos recursos deben ser utilizados por los empleados, por ejemplo: paneles de administración, VPN, instancias de Jira, FTP, SSO, entornos relacionados con el desarrollo y la lista continúa indefinidamente. Como se ve en los ejemplos siguientes, con el pago de unos pocos dólares, un atacante potencial puede tener acceso a las áreas centrales de la red de una empresa ”, escriben los investigadores.
Los investigadores también identificaron al menos cuatro infecciones de ransomware recientes entre las 25 empresas más grandes de la industria. “En los últimos tres meses, hemos visto cuatro incidentes de ransomware que afectan a las empresas de juegos, tres de los cuales se han informado públicamente”, dicen.
“También detectamos una computadora infectada (bot) que tenía registros de credenciales para muchas cuentas confidenciales a las que los atacantes podían acceder al comprar: SSO, Kibana, Jira, adminconnect, service-now, Slack, VPN, administrador de contraseñas y el poweradmin de la compañía todo en un solo bot, lo que sugiere que lo utiliza un empleado de la empresa con derechos de administrador. Este bot de gran valor estuvo disponible para la venta por menos de $ 10“, Escriben.
Los riesgos
Según los investigadores, las credenciales filtradas representan el primer paso en un ataque más elaborado. “Las credenciales filtradas se pueden” traducir “fácilmente en un ataque más significativo”. Con las credenciales en la mano, un ciberdelincuente puede usar ingeniería social y estafas de phishing hechas a medida para autenticar esas cuentas, si es necesario.
“El objetivo es, por supuesto, obtener las credenciales pertinentes para acceder a los servicios de interés, busque un punto de entrada para una red de destino, luego escale los privilegios y muévase lateralmente. Una vez que se ha obtenido acceso a un servicio de interés, el actor continuará moviéndose hacia los lados para eventualmente implementar ransomware [por exemplo]”, Escriben.
“Sin embargo, el La implementación de ransomware es solo uno de los muchos ciberataques diferentes que estos ciberdelincuentes pueden intentar. Este acceso también puede permitirles iniciar otros delitos, como el espionaje empresarial, el fraude y otros métodos que pueden provocar que las víctimas incurran en graves pérdidas económicas ”, concluyen.
See the original post at: https://thehack.com.br/mais-de-500-mil-credenciais-de-quase-25-desenvolvedoras-de-games-foram-encontradas-sendo-vendidas-na-darkweb/?rand=48889
