Le vol d'informations d'identification donne aux cyberattaquants les clés pour se déplacer au sein d'une organisation et progresser vers d'autres objectifs. Dans cet exemple de cyberattaque, l'attaquant s'est dirigé directement vers Microsoft SaaS et a tenté de s'y connecter après avoir obtenu des informations d'identification volées.
Le bourrage d'identifiants est un type de cyberattaque dans lequel les attaquants utilisent des outils automatisés pour essayer de grandes quantités de combinaisons de noms d'utilisateur et de mots de passe - souvent obtenus à partir d'une violation de données antérieure - afin d'obtenir un accès non autorisé à des comptes d'utilisateurs. Bien qu'il ne s'agisse pas du type d'attaque le plus sophistiqué, le credential stuffing représente une menace importante car il repose sur des mots de passe faibles et sur la réutilisation des mots de passe. En testant des millions de combinaisons de noms d'utilisateur et de mots de passe en peu de temps, les attaquants peuvent compromettre les informations d'identification avec un minimum d'effort. Même si le taux de réussite est généralement faible, le volume d'informations d'identification disponibles sur le dark web rend cette tactique intéressante. Elle est souvent utilisée en combinaison avec les attaques phishing pour prendre le contrôle de comptes et faire des ravages.
Les groupes de ransomwares tels qu'Akira, Medusa et Blacksuit utilisent le bourrage d'informations d'identification comme moyen facile d'accéder au réseau de l'entreprise et de s'y déplacer latéralement. Ils utilisent les informations d'identification obtenues lors d'une violation de données et utilisent les mêmes noms d'utilisateur et mots de passe pour se connecter à un VPN ou à une application d'entreprise. L'attaquant compte sur les employés pour réutiliser les mêmes identifiants pour plusieurs services, et utilise des robots pour contourner l'authentification multifactorielle (MFA) et d'autres outils de prévention.
Les attaques de type "Credential stuffing" sont relativement simples. Elles commencent généralement lorsque l'attaquant utilise des robots ou des scripts pour automatiser le processus de tentative de connexion à l'aide d'informations d'identification volées. Ces outils peuvent effectuer des milliers de tentatives de connexion par seconde, ce qui permet à cybercriminels de tester efficacement les informations d'identification sur plusieurs plates-formes.
Une fois la connexion réussie, l'attaquant peut prendre le contrôle du compte compromis pour progresser dans le réseau de l'entreprise. Il peut voler des données sensibles, perturber les opérations et lancer d'autres attaques, sans jamais avoir besoin d'exécuter un programme d'exploitation.
Dans le cas du bourrage de données d'identification, les formations de sensibilisation à la sécurité et les autres mesures de sécurité préventives ne sont pas d'une grande utilité : il faut un moyen de détecter les tentatives de bourrage au moment où elles se produisent. Mais souvent, la seule activité suspecte est une augmentation soudaine des tentatives de connexion. Et même dans ce cas, il est difficile d'arrêter les attaques sans affecter les utilisateurs légitimes.
La meilleure façon d'arrêter les attaques par bourrage d'informations d'identification est d'assurer une surveillance 24/7 soutenue par des détections basées sur l'intelligence artificielle, telles que celles fournies par Vectra AI. Par exemple, lorsqu'un attaquant réel a tenté de se connecter à l'environnement SaaS Microsoft d'une organisation internationale, il a déclenché plusieurs détections sur le site Vectra AI , notamment une connexion suspecte Entra ID et une utilisation inhabituelle du moteur de script. Ces détections ont incité l'équipe MXDR de Vectra à escalader l'incident et à arrêter l'attaque avant qu'elle ne commence.
Consultez notre anatomie d'attaque ci-dessous pour voir ce qui s'est passé lorsqu'un attaquant réel a tenté d'infiltrer l'environnement d'un client Vectra AI en utilisant le credential stuffing.