Investigadores de seguridad y privacidad revelaron que un pirata informático logró robar alrededor de 10.000 credenciales de inicio de sesión de empleados de 130 organizaciones.
El sofisticado ataque utilizó simples kits de phishing que expusieron las credenciales de los empleados.
Hacker apunta a 130 organizaciones
El jueves 25 de agosto El borde informó que el hacker responsable de varios ataques cibernéticos, incluidos Twilio, MailChimp y Klaviyo, había comprometido a más de 130 organizaciones en la misma campaña de phishing.
El hacker, apodado 0ktapus, utilizó un kit de phishing para robar casi 10.000 credenciales de inicio de sesión. Luego, el pirata informático utilizó los datos robados para obtener acceso a redes y sistemas corporativos a través de VPN y otros dispositivos de acceso remoto.
De acuerdo a un Grupo-IB Según el informe, la campaña 0ktapus ha estado en marcha desde marzo de 2022, con el objetivo de robar credenciales de identidad y códigos 2FA y utilizarlos para llevar a cabo ataques a la cadena de suministro de sus objetivos.
Los ataques tuvieron éxito y dieron lugar a una serie de filtraciones de datos denunciadas en Klaviyo, Twilio y MailChimp.
Además, las infracciones también provocaron ataques a la cadena de suministro de clientes que utilizan estos servicios, como DigitalOcean y Signal.
Basándose en los dominios de phishing creados en la campaña de phishing, el pirata informático apuntó a empresas de múltiples industrias, incluidas tecnología, finanzas, criptomonedas y reclutamiento.
Las empresas objetivo incluyen MetroPCS, T-Mobile, Verizon Wireless, Slack, AT&T, Twitter, Binance, CoinBase, KuCoin, Microsoft, Riot Games, Epic Games, Evernote, HubSpot, AT&T, Best Buy y TTEC.
Lea también: ¿Busca empleo en LinkedIn? Tenga cuidado con las estafas de phishing, ya que aumentan al 232 % desde el 1 de febrero | Como evitar
Cómo comenzó el ataque
De acuerdo a artilugio, El ataque comienza con un mensaje SMS y un enlace a una página de phishing que se hace pasar por una página de inicio de sesión de Okta donde se pide a las víctimas que ingresen sus credenciales y los códigos 2FA.
Okta es una plataforma de identidad como servicio o IDaaS que permite a los usuarios utilizar un solo inicio de sesión para acceder a todos los activos de software de sus respectivas empresas.
Los investigadores de seguridad descubrieron un total de 169 dominios de phishing únicos que respaldaban la campaña 0ktapus, utilizando las palabras clave “OKTA”, “VPN”, “HELP” y “SSO”.
Estos sitios presentan temas específicos de las empresas objetivo, por lo que parecen portales genuinos que los empleados están acostumbrados a ver en su procedimiento de inicio de sesión diario.
Cuando los empleados ingresan sus credenciales y códigos 2FA, los sitios los reenvían a un canal privado de Telegram donde el hacker puede recuperarlos.
El pirata informático utilizó credenciales de inicio de sesión para acceder a VPN, redes y sistemas de soporte corporativos para robar datos. Luego, el pirata informático utilizará los datos robados para realizar ataques a la cadena de suministro.
Basándose en las revelaciones de las víctimas anteriores de la estafa de phishing, el hacker apuntó a datos pertenecientes a empresas de la industria de las criptomonedas.
Group-IB dice que el pirata informático logró robar alrededor de 10.000 credenciales de usuario de un total de 130 empresas, 3.129 registros con correos electrónicos y 5.441 registros con códigos MFA, y la mayoría de las empresas comprometidas se encuentran en Estados Unidos.
De todas las organizaciones pirateadas, la mitad pertenecen al sector de telecomunicaciones y software, mientras que las finanzas, la educación, los servicios empresariales y el comercio minorista también tuvieron una participación importante.
Identidad del hacker
Los investigadores de Group-IB encontraron la cuenta de administrador del canal Telegram utilizada para la filtración de datos de la cuenta.
La firma de inteligencia de amenazas rastreó la actividad del usuario y descubrió que en 2018, el usuario llamado “X” publicó algo que apuntaba a su cuenta personal de Twitter.
A partir de ahí, los analistas encontraron una cuenta de GitHub vinculada al hacker, que utilizó el nombre “Sujeto X”. Group-IB dice que la cuenta de GitHub vinculada a la cuenta de Twitter tenía una ubicación en Carolina del Norte, Estados Unidos.
Group-IB afirma tener más información sobre la identidad del hacker, pero en su lugar la enviaría a las autoridades.
ⓒ 2023 . .
