Barracuda full logo

Atlantis AIO: La gran plataforma de relleno de credenciales ‘todo en uno’

Temas:
31 mar. 2025
|
Christine Barry

Hay una nueva herramienta 'todo en uno' que está haciendo titulares, y esta no es solo una herramienta de hacking común. Una herramienta 'todo en uno' (AIO, AiO) es un servicio, software o plataforma maliciosa que integra múltiples funcionalidades en un solo sistema. Los AIO están diseñados para simplificar y optimizar actividades maliciosas basadas en credenciales, como el relleno de credenciales y la toma de control de cuentas. La plataforma de relleno de credenciales como servicio (CSaaS) Atlantis AIO fue descubierta el año pasado por investigadores de Sift Science, quienes la encontraron anunciada en el servicio de mensajería Telegram

 

Mobile screenshots of Sift advertisements provided by Sift Trust and Safety Architects

Capturas de pantalla móviles de anuncios de Sift proporcionadas por los arquitectos de confianza y seguridad de Sift.

Atlantis AIO es notable por sus servicios expansivos y módulos preconfigurados. Se considera una escalada significativa en los ciberataques basados en credenciales debido a su escalabilidad y diseño intuitivo. También es una amenaza más avanzada debido a sus capacidades para eludir ciertos tipos de medidas de seguridad.

¿Qué es un AIO?

Existen muchas herramientas de cibercrimen que hacen más de una cosa, pero una herramienta AIO generalmente se refiere a un sistema de ataque basado en credenciales. Eso puede cambiar a medida que el panorama evoluciona, pero así es como se usa hoy en día. Podemos aclarar la distinción comparando los AIO con otras clasificaciones:

Herramienta

Función Principal

Comparación con Atlantis AIO

Clasificación

Herramienta Todo-En-Uno (AIO)
(ej., Atlantis AIO)

Automatiza el relleno de credenciales en más de 140 plataformas (correo electrónico, banca, streaming, etc.) utilizando credenciales robadas.

Similar a Atlantis AIO: Se centra en el relleno de credenciales y la toma de control de cuentas mediante automatización. El diseño modular permite una rápida adaptación a nuevas plataformas y medidas de seguridad.

Herramienta Todo-En-Uno (AIO) / Herramienta Basada en Credenciales

Kit de Explotación Angler

Entrega malware explotando vulnerabilidades de software (ej., fallos de navegador/plugin).

Apunta a vulnerabilidades de software para instalar malware, a diferencia de los ataques basados en credenciales de Atlantis AIO. Utiliza ofuscación, días cero e infecciones sin archivos para evadir la detección.

Kit de Explotación

THC-Hydra

Cracking de contraseñas por fuerza bruta para protocolos de red (SSH, FTP, HTTP, etc.).

Se centra en romper contraseñas débiles para servicios de red, mientras que Atlantis AIO prueba credenciales robadas en plataformas web. Hydra es específico de protocolo, mientras que Atlantis es independiente de la plataforma.

Cracker de Contraseñas de Red/Recuperación de Contraseñas

Kit de Herramientas de Ingeniería Social (SET)

Crea ataques de ingeniería social (phishing, suplantación de SMS, sitios web falsos).

Exploita la psicología humana en lugar de vulnerabilidades técnicas. A diferencia de la prueba automatizada de credenciales de Atlantis AIO, SET se basa en engañar a los usuarios para que revelen credenciales.

Marco de Ingeniería Social

Cain y Abel

Recuperación de contraseñas (mediante sniffing, fuerza bruta) y análisis de red para Windows.

Se centra en la extracción de contraseñas de sistemas/redes locales (ej., Wi-Fi, credenciales en caché). Atlantis AIO opera a escala en plataformas externas, mientras que Cain y Abel apunta a entornos internos.

Herramienta de Recuperación de Contraseñas y Análisis de Red


Las herramientas de ataque se distinguen por sus funciones principales, lo que facilita a los profesionales de seguridad rastrear, analizar y defenderse contra amenazas.

La primera generación de ataques de credenciales apareció en los años 2000. Estos se construyeron para ataques de fuerza bruta y 'prueba de credenciales', que es una clase diferente de relleno de credenciales. Estas herramientas a menudo estaban limitadas a ataques de plataforma única, y los actores de amenazas generalmente apuntaban a servidores de correo electrónico y FTP. Los avances en automatización en la década siguiente mejoraron la eficacia de las herramientas de ataque de credenciales, y el auge del desarrollo de software modular aceleró los despliegues de ataques multivector/multifunción. En lugar de romper por fuerza bruta una sola plataforma, los actores de amenazas podían desplegar un ataque central con módulos para diferentes objetivos, exploits y vectores de ataque. Más importante aún, podían cambiar y mejorar los módulos según lo deseado.

Estas mejoras han continuado, por lo que ahora nos enfrentamos a esta enorme plataforma CSaaS, Atlantis AIO.

¿Por qué el relleno de credenciales?

No podemos apreciar el impacto de esta nueva plataforma sin entender el impacto del crimen que facilita. Mantener credenciales seguras es realmente una de las áreas más importantes de la ciberseguridad. Es por eso que la industria de la seguridad está tan enfocada en temas como acceso de confianza cero, el principio de menor privilegio (PoLP), autenticación multifactor (MFA), y protección contra phishing.

La forma más común para que los actores de amenazas obtengan acceso a sus sistemas y cuentas en línea es simplemente iniciando sesión con credenciales robadas. El Informe de Investigaciones de Brechas de Datos de Verizon 2024 (DBIR), alrededor del 77% de las brechas de aplicaciones web son posibles gracias a credenciales robadas. 

 

Top Hacking actions in Basic Web Application Attacks breaches

Principales acciones de hacking en violaciones de ataques básicos a aplicaciones web, según el informe DBIR de Verizon (Figura 41).

Consideremos cómo se roban estas credenciales. El phishing ya es una amenaza principal, y sigue creciendo. Las plataformas de phishing como servicio y los botnets de phishing aceleran esta actividad, y es importante recordar que un ataque de phishing por correo electrónico no solo intenta robar credenciales. La mayoría están diseñados para instalar malware como ransomware o ladrones de información que ampliarán el alcance del crimen. Muchas credenciales se roban a través de técnicas de volcado de credenciales durante un crimen en progreso. Cientos de millones de conjuntos de credenciales han sido comprometidos a través de las muchas brechas de datos corporativos de las que no tenemos detalles.

El relleno de credenciales es el ataque basado en credenciales más exitoso porque se basa en credenciales de inicio de sesión ya robadas en ataques anteriores. Por eso nunca debes reutilizar contraseñas, incluso cuando pienses que es inofensivo. 

 

Illustration of a credential stuffing attack, via OWASP

Ilustración de un ataque de relleno de credenciales, a través de OWASP.

El ciclo del robo de credenciales

Las credenciales son un gran negocio, y el robo de credenciales es cíclico. Aquí hay una mirada simple a cómo funciona esto:

Compromiso inicial: Las credenciales se roban a través de correos electrónicos de phishing, malware ladrón de información, brechas de datos u otro método.

Recolección y agregación: Las credenciales robadas se empaquetan para distribución o venta en un foro oscuro. Los cibercriminales pueden clasificar estas credenciales por dominio o empresa y procesarlas en un formato de alto valor y fácil consumo. Los actores de amenazas como el ransomware Medusa roban credenciales para sus propios ataques. Pueden planear vender o distribuir libremente las credenciales después de esto.

Ventas y distribución: A menudo verá que los Brokers de Acceso Inicial (IABs) compran credenciales robadas para poder iniciar sus propios ataques basados en credenciales. Los IABs utilizan las credenciales para obtener acceso a objetivos de alto valor, y luego venden la información a otros actores de amenazas. Esto permite a los actores de amenazas comprar acceso a un sistema, en lugar de solo comprar credenciales que podrían funcionar. Los IABs son parte de la cadena de suministro del cibercrimen. Los actores de amenazas también pueden usar credenciales compradas para otros tipos de ataques, dependiendo de qué información esté incluida en la lista.

Ataques de relleno de credenciales: Otros actores de amenazas compran estas listas y utilizan herramientas automatizadas como Atlantis AIO para lanzar ataques de relleno de credenciales. En términos simples, estos ataques intentan iniciar sesión en diferentes servicios utilizando estas credenciales robadas para ver si las personas usaron la misma contraseña para múltiples cuentas.

Compromiso repetido de cuentas: Algunos conjuntos de credenciales funcionarán, y esto nos lleva de vuelta a las etapas anteriores de recolección y venta de más credenciales.

El ciclo de robo de credenciales es autosostenible porque las personas reutilizan contraseñas en múltiples servicios y las credenciales generalmente permanecen disponibles durante mucho tiempo después de haber sido comprometidas. 

 

Breachforums post offering sale of stolen data known as the 'Antipublick Collection"

Publicación en Breachforums ofreciendo la venta de datos robados conocida como la "Colección Antipublick" a través de DarkWebInformer.

Hay miles de millones de conjuntos de credenciales robadas disponibles en la dark web, y fácilmente accesibles a través de listas como RockYou2024 o Collection #1, y un estudio de 2022 estimó que los ataques de relleno de credenciales tienen una tasa de éxito del 0.2 al 2%. Esa tasa de éxito fluctúa, pero se basa en un conjunto de datos que sigue creciendo. Desde el punto de vista de un actor de amenazas, los conjuntos de credenciales Y el acceso a una red son dos flujos de ingresos diferentes, por lo que este tipo de crimen puede ser la base de una operación lucrativa.

Atlantis AIO

El daño causado por los ataques basados en credenciales es la razón por la que Atlantis AIO puede ser un problema serio. Esta plataforma automatiza los ataques de relleno de credenciales en múltiples plataformas, incluyendo servicios de correo electrónico, sitios de comercio electrónico, bancos, VPNs y servicios de entrega de alimentos, y ahora es parte de la cadena de suministro para grupos de ransomware y amenazas persistentes avanzadas (APTs). Aquí está por qué se considera tan peligrosa:

La herramienta es fácil de usar, lo que permite incluso a atacantes novatos ejecutar ataques sofisticados sin necesidad de conocimientos técnicos extensos. Esta accesibilidad reduce la barrera para que nuevos actores de amenazas participen en el crimen basado en credenciales. También facilita que los criminales experimentados inicien ataques.

Atlantis AIO tiene un marco modular, y los propietarios ofrecen módulos preconfigurados que apuntan a aproximadamente 140 plataformas. Esta modularidad permite a los atacantes cambiar fácilmente entre diferentes tipos de ataques y plataformas. También facilita a los desarrolladores agregar nuevos objetivos y adaptar ataques existentes a nuevas medidas de seguridad.

La herramienta está diseñada para la eficiencia y escalabilidad 'como servicio'. Puede probar millones de nombres de usuario y contraseñas robadas en rápida sucesión, lo que facilita a los atacantes ejecutar ataques a gran escala con un esfuerzo mínimo.

Atlantis AIO incluye módulos de ataque especializados para pruebas de cuentas de correo electrónico, ataques de fuerza bruta y procesos de recuperación. Estos módulos pueden eludir medidas de seguridad como CAPTCHAs y automatizar procesos de restablecimiento de contraseñas. Esto optimiza y agiliza los ataques de toma de control de cuentas.

Pruebas de cuentas de correo electrónico: Estos módulos facilitan ataques de fuerza bruta para plataformas de correo electrónico populares. Facilitan ataques de toma de control de cuentas, incluyen funcionalidad de toma de control de bandeja de entrada que apoya crímenes adicionales como robo de datos y campañas de phishing o spam.

Ataques de fuerza bruta: Estos módulos automatizan el 'adivinar' contraseñas.

Módulos de recuperación: Estas son herramientas para eludir medidas de seguridad como CAPTCHA, y funcionan con servicios específicos como eBay y Yahoo. Atlantis AIO también incluye una función de 'recuperación auto-doxer', que se combina con la herramienta que derrota el desafío CAPTCHA, lo que puede permitir a los actores de amenazas cambiar contraseñas y bloquear al usuario legítimo.

illustration of a brute force attack that cycles through variations of passwords, via Hashed Out

Ilustración de un ataque de fuerza bruta que recorre variaciones de contraseñas, a través de Hashed Out.

La función de recuperación de auto-doxing es uno de los principales elementos de Atlantis AIO. Recopila todos los datos disponibles sobre la víctima y utiliza los datos obtenidos para eludir las preguntas de seguridad. Estos datos pueden provenir de fuentes disponibles públicamente, como las redes sociales, o pueden provenir de datos robados en filtraciones anteriores. La función de recuperación de auto-doxing utiliza esta información para adivinar las respuestas a las preguntas de seguridad. Si esto funciona, Atlantis AIO puede restablecer la contraseña y obtener el control total antes de que la víctima se dé cuenta.

Es difícil calcular cuánto daño se hará con Atlantis AIO. No es la primera herramienta de ataque de credenciales automatizada, y no es el primer crimen ofrecido como servicio. Atlantis AIO podría tener una larga vida, o podría desconectarse antes de causar más daño. Independientemente de cómo viva o muera, Atlantis AIO podría desencadenar un momento decisivo en los ataques basados en credenciales. El relleno de credenciales alcanzó niveles sin precedentes en 2024, cuando los investigadores observaron por primera vez Atlantis AIO ofrecido en Telegram. Aunque no fue una herramienta dominante en 2024, no podemos descartar que esta plataforma haya contribuido a ese aumento.

Qué puedes hacer

  • Deja de reutilizar tus contraseñas. Esa es la más importante.
  • Usa un gestor de contraseñas que te permita almacenar contraseñas únicas y complejas de manera fácil de usar.
  • Utiliza la autenticación multifactor siempre que sea posible.
  • Considera cambiar a un método de autenticación sin contraseña.
  • Evita el wifi público para inicios de sesión o transacciones sensibles.
  • Mantente alerta ante intentos de phishing. Aprende a reconocer correos electrónicos, enlaces y sitios web sospechosos.
  • Monitorea las credenciales filtradas. La mayoría de los gestores de contraseñas incluyen esto en el servicio.

Qué puede hacer tu empresa

Además de apoyar todo lo anterior, las empresas pueden emplear capas adicionales de seguridad contra el relleno de credenciales:

  • Implementar limitación de velocidad y estrangulamiento para limitar el número de intentos de inicio de sesión permitidos por una cuenta o una dirección IP.
  • Usar CAPTCHA y otras pruebas de desafío-respuesta. Esto funciona mejor cuando se combina con otras defensas.
  • Monitorear el comportamiento de inicio de sesión con inteligencia artificial (IA) y análisis. El análisis de comportamiento puede establecer un patrón para los inicios de sesión de usuarios y detectar actividad inusual, como el relleno de credenciales, antes de que tenga éxito.
  • Desplegar firewalls de aplicaciones web para defenderse contra este tipo de ataque.
  • Adoptar la autenticación sin contraseña, como biometría o códigos de un solo uso.
  • Usar un programa de concienciación sobre seguridad para educar a los empleados sobre estafas, phishing y mejores prácticas.
  • Monitorear las credenciales filtradas asociadas con tu dominio. Los servicios de inteligencia de amenazas monitorearán activamente los foros de la dark web y otros canales en busca de información relacionada con tu dominio. 

Barracuda puede ayudar

La plataforma avanzada de seguridad de red de Barracuda puede ayudarte a implementar un sistema de autenticación moderno y sin contraseñas que permita a los usuarios acceder a tu red y recursos de manera fácil y transparente, mientras bloquea eficazmente a los intrusos maliciosos. Echa un vistazo y comienza con una prueba gratuita.

 

Christine Barry

Christine Barry Senior Chief Cybersecurity Storyteller and Content Manager at Barracuda.  Prior to joining Barracuda, Christine was a field engineer and project manager for K12 and SMB clients for over 15 years.  She holds several technology and project management credentials, a Bachelor of Arts, and a Master of Business Administration. She is a graduate of the University of Michigan.

Connect with Christine on LinkedIn here.

 

Join our Reddit community!

Publicaciones relacionadas:
CVE controversy creates opportunity to improve
CVE controversy creates opportunity to improve
 Navigating the API release cycle
Navigating the API release cycle
 CVE program's funding crisis: Implications and strategic response
CVE program's funding crisis: Implications and strategic response
 Swatting attacks explained: What you need to know
Swatting attacks explained: What you need to know
Search the blog

Subscribe to the Barracuda Blog.

Sign up to receive threat spotlights, industry commentary, and more.

Sign up to receive threat spotlights, industry commentary, and more.

Get all the latest news, research, and analysis delivered right to your inbox.