Un misterioso grupo de cibercriminales rusos ha robado 1.200 millones de usuarios y contraseñas, y más de 500 millones de direcciones de correo electrónico. Los números dan cuenta de la magnitud de este ataque, dirigido a bases de datos con bajos niveles de seguridad.
Una red de computadoras zombis, que conformaban una botnet, identificaron más de 420 mil sitios vulnerables a ataques de inyección SQL, según informa The Register. Estos sitios fueron marcados a los atacantes, quienes de esa forma se hicieron de 1.200 millones de credenciales explotando vulnerabilidades.
Los registros robados, descubiertos por Hold Security, incluyen material confidencial y contienen tanto nombres particulares como firmas de pequeños sitios de Internet. Si bien muchos de los usuarios y contraseñas que obtuvieron estaban repetidos, se estima que 542 millones de direcciones eran únicas.
"No apuntaron sólo a grandes compañías; en cambio, apuntaron a cada sitio que sus víctimas visitaron. Con cientos de miles de sitios afectados, la lista incluye líderes en prácticamente todas las industrias alrededor del mundo, así como una multitud de sitios pequeños o incluso personales", dice la publicación de Hold Security.
¿Cómo sucedió todo esto?
Inicialmente, la banda adquirió bases de datos de credenciales robadas en el mercado negro. Estas fueron utilizadas para atacar proveedores de correo electrónico, redes sociales y otros sitios, para propagar spam e instalar redirecciones maliciosas en sistemas legítimos.
También a través del mercado negro, accedieron a datos de botnets que usaban los sistemas de las víctimas para identificar vulnerabilidades a SQL en los sitios que visitaban. Estas redes hicieron una enorme auditoría, como resultado de la cual hallaron que cerca de 400 mil sitios eran potencialmente vulnerables a inyecciones SQL. Finalmente, el grupo ruso explotó esa vulnerabilidad para obtener la enorme cantidad de credenciales que robó.