Barracuda full logo

Atlantis AIO: La gran plataforma de 'todo en uno' para el relleno de credenciales

Temas:
31 mar 2025
|
Christine Barry

Hay una nueva herramienta 'todo en uno' que está haciendo titulares, y esta no es solo tu herramienta de hacking diaria. Una herramienta 'todo en uno' (AIO, AiO) es un servicio, software o plataforma maliciosa que integra múltiples funcionalidades en un solo sistema. Las AIO están diseñadas para simplificar y optimizar actividades maliciosas basadas en credenciales, como relleno de credenciales y toma de control de cuentas. La plataforma Atlantis AIO de relleno de credenciales como servicio (CSaaS) fue descubierta el año pasado por investigadores de Sift Science, quienes la encontraron anunciada en el servicio de mensajería Telegram:

 

Capturas de pantalla móviles de anuncios de Sift proporcionadas por los Arquitectos de Confianza y Seguridad de Sift

Capturas de pantalla móviles de anuncios de Sift proporcionadas por los Arquitectos de Confianza y Seguridad de Sift

Atlantis AIO es notable por sus amplios servicios y módulos preconfigurados. Se considera una escalada significativa en los ciberataques basados en credenciales debido a su escalabilidad y diseño intuitivo. También es una amenaza más avanzada debido a sus capacidades para eludir ciertos tipos de medidas de seguridad.

¿Qué es un AIO?

Hay muchas herramientas de ciberdelito que hacen más de una cosa, pero una herramienta AIO generalmente se refiere a un sistema de ataque basado en credenciales. Eso puede cambiar a medida que el panorama evolucione, pero así es como se usa hoy en día. Podemos aclarar la distinción comparando los AIO con otras clasificaciones:

Herramienta

Función principal

Comparación con Atlantis AIO

Clasificación

Herramienta Todo en Uno (AIO)
(p. ej., Atlantis AIO)

Automatiza el relleno de credenciales en más de 140 plataformas (correo electrónico, banca, streaming, etc.) utilizando credenciales robadas.

Similar a Atlantis AIO: Se centra en el relleno de credenciales y la toma de control de cuentas mediante automatización. El diseño modular permite una rápida adaptación a nuevas plataformas y medidas de seguridad.

Herramienta Todo en Uno (AIO) / Herramienta Basada en Credenciales

Angler Exploit Kit

Entrega malware al explotar vulnerabilidades de software (por ejemplo, fallos de navegador/plugin).

Apunta a vulnerabilidades de software para instalar malware, a diferencia de los ataques basados en credenciales de Atlantis AIO. Utiliza ofuscación, zero-days e infecciones sin archivos para evadir la detección.

Kit de explotación

THC-Hydra

Cracking de contraseñas por fuerza bruta para protocolos de red (SSH, FTP, HTTP, etc.).

Se centra en descifrar contraseñas débiles para servicios de red, mientras que Atlantis AIO prueba credenciales robadas en plataformas web. Hydra es específico de protocolo, mientras que Atlantis es independiente de la plataforma.

Cracker de contraseñas de red/Recuperación de contraseñas

Social Engineering Toolkit (SET)

Crea ataques de ingeniería social (phishing, suplantación de SMS, sitios web falsos).

Exploita la psicología humana en lugar de vulnerabilidades técnicas. A diferencia de las pruebas automatizadas de credenciales de Atlantis AIO, SET se basa en engañar a los usuarios para que revelen sus credenciales.

Marco de Ingeniería Social

Caín y Abel

Recuperación de contraseñas (mediante sniffing, fuerza bruta) y análisis de redes para Windows.

Se centra en la extracción de contraseñas del sistema/red local (por ejemplo, Wi-Fi, credenciales en caché). Atlantis AIO opera a gran escala a través de plataformas externas, mientras que Cain y Abel se dirige a entornos internos.

Herramienta de recuperación de contraseñas y análisis de red

Las herramientas de ataque se distinguen por sus funciones principales, lo que facilita a los profesionales de seguridad rastrear, analizar y defenderse de las amenazas.

La primera generación de ataques de credenciales apareció en la década de 2000. Estos se diseñaron para ataques de fuerza bruta y 'pruebas de credenciales', que es una clase diferente de relleno de credenciales. Estas herramientas a menudo estaban limitadas a ataques de una sola plataforma, y los actores malintencionados generalmente apuntaban a servidores de correo electrónico y FTP. Los avances en automatización en la década siguiente mejoraron la eficacia de las herramientas de ataque de credenciales, y el auge del desarrollo de software modular aceleró el despliegue de ataques multivector/multifunción. En lugar de descifrar a fuerza bruta una sola plataforma, los actores malintencionados podían desplegar un ataque principal con módulos para diferentes objetivos, exploits y vectores de ataque. Más importante aún, podían cambiar y mejorar los módulos según lo desearan.

Estas mejoras han continuado, por lo que ahora nos enfrentamos a esta enorme plataforma de CSaaS, Atlantis AIO.

¿Por qué el relleno de credenciales?

No podemos apreciar el impacto de esta nueva plataforma sin entender el impacto del delito que facilita. Mantener credenciales seguras es realmente una de las áreas más importantes de la ciberseguridad. Es por eso que la industria de la seguridad está tan enfocada en temas como acceso de confianza cero, el principio de menor privilegio (PoLP), autenticación multifactor (MFA) y protección contra phishing.

La forma más común para que los actores malintencionados accedan a tus sistemas y cuentas en línea es simplemente iniciando sesión con credenciales robadas. El Informe de Investigaciones de Brechas de Datos de Verizon 2024 (DBIR) indica que alrededor del 77% de las brechas en aplicaciones web son posibles gracias a las credenciales robadas.

 

Principales acciones de hacking en violaciones de ataques básicos a aplicaciones web

Principales acciones de hacking en violaciones de ataques básicos a aplicaciones web, del informe DBIR de Verizon (Figura 41)

Consideremos cómo se roban estas credenciales. El phishing ya es una amenaza principal y sigue creciendo. Las plataformas de phishing como servicio y botnets de phishing aceleran esta actividad, y es importante recordar que un ataque de phishing por correo electrónico no solo intenta robar credenciales. La mayoría están diseñados para instalar malware como ransomware o info-stealers que ampliarán el alcance del delito. Muchas credenciales se roban mediante técnicas de volcado de credenciales durante un delito en curso. Cientos de millones de conjuntos de credenciales han sido comprometidos a través de las numerosas violaciones de datos corporativos de las que no tenemos detalles.

El relleno de credenciales es el ataque basado en credenciales más exitoso porque se basa en credenciales de inicio de sesión ya robadas en ataques anteriores. Por eso nunca debes reutilizar contraseñas, incluso cuando pienses que es inofensivo.

 

Ilustración de un ataque de relleno de credenciales, vía OWASP

Ilustración de un ataque de relleno de credenciales, vía OWASP

El ciclo del robo de credenciales

Las credenciales son un gran negocio, y el robo de credenciales es cíclico. Aquí tienes una mirada sencilla de cómo funciona esto:

Compromiso inicial: Las credenciales son robadas mediante correos electrónicos de phishing, malware infostealer, brechas de datos o algún otro método.

Cosecha y agregación: Las credenciales robadas se empaquetan para su distribución o venta en un foro oscuro. Los ciberdelincuentes pueden clasificar estas credenciales por dominio o empresa y procesarlas en un formato de alto valor y fácilmente consumible. Actores de amenazas como el ransomware Medusa roban credenciales para sus propios ataques. Pueden planear vender o distribuir libremente las credenciales después de esto.

Ventas y distribución: A menudo verá a los Brokers de Acceso Inicial (IABs) comprar credenciales robadas para que puedan iniciar sus propios ataques basados en credenciales. Los IABs utilizan las credenciales para obtener acceso a objetivos de alto valor y luego venden la información a otros actores de amenazas. Esto permite a los actores de amenazas comprar acceso a un sistema, en lugar de solo comprar credenciales que podrían funcionar. Los IABs son parte de la cadena de suministro del cibercrimen. Los actores de amenazas también pueden usar credenciales compradas para otros tipos de ataques, dependiendo de qué información esté incluida en la lista.

Ataques de relleno de credenciales: Otros actores de amenazas compran estas listas y utilizan herramientas automatizadas como Atlantis AIO para lanzar ataques de relleno de credenciales. En términos más simples, estos ataques intentan iniciar sesión en diferentes servicios utilizando estas credenciales robadas para ver si las personas utilizaron la misma contraseña para múltiples cuentas.

Compromiso repetido de cuenta: Algunos conjuntos de credenciales funcionarán, y esto nos lleva de nuevo a las etapas anteriores de recopilación y venta de más credenciales.

El ciclo de robo de credenciales es autosostenible porque las personas reutilizan contraseñas en múltiples servicios y las credenciales generalmente permanecen disponibles durante mucho tiempo después de haber sido comprometidas.

 

Publicación en Breachforums que ofrece la venta de datos robados conocidos como la "Colección Antipublick"

Publicación en Breachforums ofreciendo la venta de datos robados conocidos como la 'Antipublick Collection' a través de DarkWebInformer

Existen miles de millones de conjuntos de credenciales robadas disponibles en la dark web, y fácilmente accesibles a través de listas como RockYou2024 o Collection #1, y un estudio de 2022 estimó que los ataques de relleno de credenciales tienen una tasa de éxito de 0.2 a 2%. Esa tasa de éxito fluctúa, pero se basa en un conjunto de datos que sigue creciendo. Desde el punto de vista de un actor de amenazas, los conjuntos de credenciales Y el acceso a una red son dos fuentes de ingresos diferentes, por lo que este tipo de delito puede ser la base de una operación lucrativa.

Atlantis AIO

El daño causado por los ataques basados en credenciales es la razón por la cual Atlantis AIO puede ser un problema serio. Esta plataforma automatiza ataques de relleno de credenciales en múltiples plataformas, incluyendo servicios de correo electrónico, sitios de comercio electrónico, bancos, VPNs y servicios de entrega de comida, y ahora es parte de la cadena de suministro para grupos de ransomware y amenazas persistentes avanzadas (APTs). Aquí está la razón por la que se considera tan peligroso:

La herramienta es fácil de usar, lo que permite a los atacantes novatos ejecutar ataques sofisticados sin necesidad de tener un conocimiento técnico extenso. Esta accesibilidad reduce la barrera para que nuevos actores de amenazas se involucren en delitos basados en credenciales. También facilita que criminales experimentados inicien ataques.

Atlantis AIO tiene un marco modular, y los propietarios ofrecen módulos preconfigurados que apuntan a aproximadamente 140 plataformas. Esta modularidad permite a los atacantes cambiar fácilmente entre diferentes tipos de ataques y plataformas. También facilita a los desarrolladores añadir nuevos objetivos y adaptar ataques existentes a nuevas medidas de seguridad.

La herramienta está diseñada para la eficiencia y escalabilidad ‘como servicio’. Puede probar millones de nombres de usuario y contraseñas robadas en rápida sucesión, lo que facilita a los atacantes ejecutar ataques a gran escala con un esfuerzo mínimo.

Atlantis AIO incluye módulos de ataque especializados para pruebas de cuentas de correo electrónico, ataques de fuerza bruta y procesos de recuperación. Estos módulos pueden eludir medidas de seguridad como CAPTCHAs y automatizar procesos de restablecimiento de contraseñas. Esto agiliza y optimiza los ataques de toma de control de cuentas.

Pruebas de cuentas de correo electrónico: Estos módulos facilitan ataques de fuerza bruta para plataformas de correo electrónico populares. Facilitan ataques de toma de control de cuentas e incluyen funcionalidades de toma de control de bandejas de entrada que apoyan delitos adicionales como el robo de datos y campañas de phishing o spam.

Ataques de fuerza bruta: Estos módulos automatizan el ‘adivinamiento’ de contraseñas.   

Módulos de recuperación: Estos son herramientas para evitar medidas de seguridad como CAPTCHA, y funcionan con servicios específicos como eBay y Yahoo. Atlantis AIO también incluye una función de "recuperación auto-doxer", que se empareja con la herramienta que vence el desafío CAPTCHA, lo que puede permitir a los actores malintencionados cambiar contraseñas y bloquear al usuario legítimo.

ilustración de un ataque de fuerza bruta que recorre variaciones de contraseñas, a través de Hashed Out

ilustración de un ataque de fuerza bruta que recorre variaciones de contraseñas, a través de Hashed Out

La función de recuperación automática de doxing es uno de los personajes principales de Atlantis AIO. Recopila todos los datos disponibles sobre la víctima y utiliza los datos obtenidos para eludir las preguntas de seguridad. Estos datos pueden ser de fuentes disponibles públicamente, como las redes sociales, o pueden provenir de datos robados en filtraciones anteriores. La función de recuperación automática de doxing utiliza esta información para adivinar las respuestas a las preguntas de seguridad. Si esto funciona, Atlantis AIO puede restablecer la contraseña y obtener el control total antes de que la víctima lo note.

Es difícil calcular cuántos daños se harán con Atlantis AIO. No es la primera herramienta automatizada de ataque de credenciales, y no es el primer delito ofrecido como servicio. Atlantis AIO podría tener una larga vida, o podría desconectarse antes de causar más daño. Independientemente de cómo viva o muera, Atlantis AIO podría desencadenar un momento crucial en los ataques basados en credenciales. El relleno de credenciales alcanzó niveles sin precedentes en 2024, cuando los investigadores observaron por primera vez Atlantis AIO ofrecido en Telegram. Aunque no fue una herramienta dominante en 2024, no podemos descartar que esta plataforma contribuyó a ese aumento.

Qué puede hacer usted

  • Deja de reutilizar tus contraseñas. Esa es la más importante.
  • Usa un administrador de contraseñas que te permita almacenar contraseñas únicas y complejas de manera fácil de usar.
  • Utiliza la autenticación multifactor siempre que sea posible.
  • Considere cambiar a un método de autenticación sin contraseña.
  • Evita el wifi público para inicios de sesión o transacciones sensibles.
  • Mantente alerta ante intentos de phishing. Aprende a reconocer correos electrónicos, enlaces y sitios web sospechosos.
  • Supervisa las credenciales filtradas. La mayoría de los gestores de contraseñas incluyen esto en el servicio.

Lo que su empresa puede hacer

Además de admitir todo lo anterior, las empresas pueden emplear capas adicionales de seguridad contra el relleno de credenciales:

  • Implementar limitación de velocidad y regulación para limitar el número de intentos de inicio de sesión permitidos por una cuenta o una dirección IP.
  • Utiliza CAPTCHA y otras pruebas de desafío-respuesta. Esto funciona mejor cuando se combina con otras defensas.
  • Supervise el comportamiento de inicio de sesión con inteligencia artificial (IA) y análisis. El análisis del comportamiento puede establecer un patrón para los inicios de sesión de los usuarios y detectar actividades inusuales, como el relleno de credenciales, antes de que tenga éxito.
  • Desplegar cortafuegos de aplicaciones web para defenderse contra este tipo de ataque.
  • Adopta la autenticación sin contraseña como biometría o códigos de un solo uso.
  • Utiliza un programa de concienciación sobre seguridad para educar a los empleados sobre estafas, phishing y mejores prácticas.
  • Monitorizar las credenciales filtradas asociadas con su dominio. Los servicios de inteligencia de amenazas monitorizarán activamente los foros de la dark web y otros canales en busca de información relacionada con su dominio.

Barracuda puede ayudarles

La plataforma avanzada de seguridad de red de Barracuda puede ayudarte a implementar un sistema de autenticación moderno sin contraseñas que permite a los usuarios acceder a tu red y recursos de manera fácil y transparente, mientras bloquea eficazmente a los intrusos malintencionados. Echa un vistazo y comienza con una prueba gratuita.

 

Christine Barry

Christine Barry, narradora principal de historias sobre ciberseguridad y gestora de contenidos en Barracuda. Antes de unirse a Barracuda, Christine fue ingeniera de campo y gestora de proyectos para clientes de K12 y PYMES durante más de 15 años. Posee varias credenciales en tecnología y gestión de proyectos, una licenciatura en Artes y un Máster en Administración de Empresas. Es graduada de la Universidad de Míchigan.

Conéctate con Christine en LinkedIn aquí.

 

¡Únete a nuestra comunidad de Reddit!

Publicaciones relacionadas:
Radar de amenazas de correo electrónico – Junio de 2025
Radar de amenazas de correo electrónico – Junio de 2025
 ¿Cómo lavan los ciberdelincuentes las criptomonedas?
¿Cómo lavan los ciberdelincuentes las criptomonedas?
 Nuevo asistente de incorporación más sencillo para Barracuda Email Protection
Nuevo asistente de incorporación más sencillo para Barracuda Email Protection
 Cl0p ransomware: El invasor sucio que muerde mientras duermes
Cl0p ransomware: El invasor sucio que muerde mientras duermes
Search the blog

Subscribe to the Barracuda Blog.

Sign up to receive threat spotlights, industry commentary, and more.

Sign up to receive threat spotlights, industry commentary, and more.

Get all the latest news, research, and analysis delivered right to your inbox.