El Departamento de Justicia de Estados Unidos ha detenido y acusado a dos nuevos sospechosos por su implicación en el pirateo de casi 68.000 cuentas de DraftKings en un ataque de «relleno de credenciales» en noviembre de 2022.
Un mes después, DraftKings dijo que había reembolsado cientos de miles de dólares robados a 67.995 clientes cuyas cuentas fueron hackeadas en el incidente.
Un tercer acusado, Joseph Garrison, fue acusado en mayo de 2023 por su participación en el mismo plan dirigido al sitio de apuestas y deportes de fantasía. En noviembre, también se declaró culpable de conspiración para cometer intrusión informática en relación con ese ataque y será sentenciado el jueves.
Los ataques de relleno de credenciales utilizan herramientas automatizadas para realizar millones de intentos de inicio de sesión utilizando una lista de pares de usuario/contraseña. Esta técnica es especialmente eficaz contra cuentas cuyo propietario ha reutilizado los mismos datos de acceso en varias plataformas.
Según la denuncia, Nathan Austad (alias Snoopy) y Garrison utilizaron una lista de credenciales recopiladas de otras infracciones para piratear cuentas de DraftKings y luego vendieron el acceso a las cuentas a otras personas que robaron aproximadamente 635.000 dólares de unas 1.600 cuentas comprometidas.
Aunque Austad y Garrison vendieron algunas de las cuentas pirateadas utilizando sus propias «tiendas», también vendieron muchas de ellas al por mayor a Kamerin Stokes (alias TheMFNPlug).
Juntos, los acusados también idearon un método por el que los compradores de cuentas de DraftKings robadas podían retirar todos los fondos disponibles.
Dieron instrucciones a sus «clientes» para que añadieran un nuevo método de pago a las cuentas comprometidas, depositaran 5 dólares a través del método de pago recién añadido para verificar su validez y, a continuación, retiraran todos los fondos existentes a una cuenta financiera independiente bajo su control.
Al analizar el teléfono incautado a Austad, los agentes de la ley encontraron más pruebas que le implicaban en el ataque a las credenciales de DraftKings, incluidas conversaciones con co-conspiradores sobre el hackeo.
También encontraron cientos de «configuraciones» utilizadas por las herramientas de ataque por saturación (OpenBullet y SilverBullet, por ejemplo) en los dispositivos incautados a Austad y Garrison, así como decenas de listas de palabras que contenían decenas de millones de combinaciones de nombres de usuario y contraseñas también utilizadas para la saturación.
Durante el mismo período de noviembre, los clientes de FanDuel denunciaron cuentas comprometidas como resultado de ataques de relleno de credenciales, y las cuentas robadas se vendieron en mercados de ciberdelincuentes por tan sólo 2 dólares.
Según los documentos judiciales, Garrison dirigía el sitio web «Goat Shop», que vendía cuentas secuestradas de DraftKings y FanDuel, y ganó 2.135.150,09 dólares tras vender 225.247 «productos».
Chick-fil-A también confirmó en marzo de 2023 (tras una investigación que comenzó en enero de este año) que 71.473 clientes habían visto vulneradas sus cuentas como resultado de un ataque de relleno de credenciales de meses de duración que tuvo como objetivo la plataforma entre el 18 de diciembre de 2022 y el 12 de febrero de 2023.
Garrison’s Goat Shop también estaba vendiendo cuentas robadas de Chic-Fil-A en ese momento, proporcionando instrucciones sobre cómo los compradores podían utilizar los puntos de fidelidad almacenados.
Las herramientas automatizadas y la agregación de credenciales robadas están alimentando una oleada masiva de ataques de relleno de credenciales, como informó el FBI hace casi dos años.