Oltre 130 aziende sono coinvolte in una vasta campagna di phishing che ha falsificato un sistema di autenticazione a più fattori.
Gli attacchi mirati ai dipendenti di Twilio e Cloudflare sono legati a una massiccia campagna di phishing che ha compromesso 9,931 account di oltre 130 organizzazioni. Le campagne sono legate all'abuso mirato di identità e società di gestione degli accessi Okta, che ha fatto guadagnare agli autori delle minacce il soprannome di 0ktapus, da parte dei ricercatori.
"L'obiettivo principale degli autori delle minacce era ottenere credenziali di identità Okta e codici di autenticazione a più fattori (MFA) dagli utenti delle organizzazioni prese di mira", hanno scritto i ricercatori di Group-IB in un recente rapporto. "Questi utenti hanno ricevuto messaggi di testo contenenti collegamenti a siti di phishing che imitavano la pagina di autenticazione Okta della loro organizzazione."
Sono state colpite 114 aziende con sede negli Stati Uniti, con ulteriori vittime sparse in altri 68 paesi.
Roberto Martinez, analista senior di threat intelligence presso Group-IB, ha affermato che la portata degli attacchi è ancora sconosciuta. "La campagna 0ktapus ha avuto un successo incredibile e la sua portata potrebbe non essere conosciuta per qualche tempo", ha detto.
Cosa volevano gli hacker di 0ktapus
Si ritiene che gli aggressori di 0ktapus abbiano iniziato la loro campagna prendendo di mira le società di telecomunicazioni nella speranza di ottenere l'accesso ai numeri di telefono di potenziali bersagli.
Pur non essendo sicuri di come gli aggressori abbiano ottenuto un elenco di numeri di telefono utilizzati negli attacchi MFA, una teoria ipotizzata dai ricercatori è che gli aggressori di 0ktapus abbiano iniziato la loro campagna prendendo di mira le società di telecomunicazioni.
"Secondo i dati compromessi analizzati da Group-IB, gli autori delle minacce hanno iniziato i loro attacchi prendendo di mira gli operatori mobili e le società di telecomunicazioni e avrebbero potuto raccogliere i numeri da quegli attacchi iniziali", hanno scritto i ricercatori.
Successivamente, gli aggressori hanno inviato collegamenti di phishing agli obiettivi tramite messaggi di testo. Questi collegamenti portavano a pagine web che imitavano la pagina di autenticazione Okta utilizzata dal datore di lavoro preso di mira. Alle vittime è stato quindi chiesto di inviare le credenziali di identità di Okta oltre ai codici di autenticazione a più fattori (MFA) utilizzati dai dipendenti per proteggere i propri accessi.
In un accompagnamento blog tecnico, i ricercatori del Group-IB spiegano che le compromissioni iniziali della maggior parte delle aziende di software come servizio erano la prima fase di un attacco su più fronti. L'obiettivo finale di 0ktapus era accedere alle mailing list aziendali o ai sistemi rivolti ai clienti nella speranza di facilitare gli attacchi alla catena di fornitura.
In un possibile incidente correlato, poche ore dopo la pubblicazione del rapporto di Group-IB alla fine della scorsa settimana, la società DoorDash ha rivelato di essere stata presa di mira in un attacco con tutte le caratteristiche di un attacco in stile 0ktapus.
Raggio di esplosione: attacchi MFA
In un post sul blog DoorDash rivelato; "Una parte non autorizzata ha utilizzato le credenziali rubate dei dipendenti del fornitore per ottenere l'accesso ad alcuni dei nostri strumenti interni." Gli aggressori, secondo il post, hanno poi rubato informazioni personali – inclusi nomi, numeri di telefono, indirizzi e-mail e di consegna – da clienti e addetti alle consegne.
Nel corso della sua campagna l'aggressore ha compromesso 5,441 codici MFA, ha riferito Group-IB.
“Le misure di sicurezza come l’AMF possono sembrare sicure… ma è chiaro che gli aggressori possono superarle con strumenti relativamente semplici”, hanno scritto i ricercatori.
"Questo è ancora un altro attacco di phishing che mostra quanto sia facile per gli avversari aggirare l'autenticazione a più fattori apparentemente sicura", ha scritto Roger Grimes, evangelista della difesa basata sui dati presso KnowBe4, in una dichiarazione via e-mail. “Semplicemente non serve a nulla spostare gli utenti da password facilmente a rischio di phishing a MFA facilmente a rischio di phishing. Ci vuole tanto duro lavoro, risorse, tempo e denaro per non ottenere alcun beneficio”.
Per mitigare le campagne in stile 0ktapus, i ricercatori hanno raccomandato una buona igiene riguardo a URL, password e utilizzo FIDO2chiavi di sicurezza conformi per MFA.
“Qualunque sia l’MFA utilizzato da qualcuno”, ha consigliato Grimes, “l’utente dovrebbe essere istruito sui tipi comuni di attacchi commessi contro la sua forma di MFA, come riconoscere tali attacchi e come rispondere. Facciamo lo stesso quando diciamo agli utenti di scegliere le password, ma non lo facciamo quando diciamo loro di utilizzare un MFA apparentemente più sicuro."
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://threatpost.com/0ktapus-victimize-130-firms/180487/
- :ha
- :È
- :non
- 114
- 9
- a
- Chi siamo
- abuso
- accesso
- gestione degli accessi
- Secondo
- conti
- operanti in
- attori
- aggiunta
- aggiuntivo
- indirizzi
- consigliato
- contro
- Tutti
- an
- analista
- analizzato
- ed
- Un altro
- in qualsiasi
- apparire
- SONO
- in giro
- AS
- At
- attacco
- attacchi
- Autenticazione
- BE
- stato
- ha iniziato
- iniziato
- essendo
- creduto
- beneficio
- ma
- by
- Campagna
- Responsabile Campagne
- Materiale
- pulire campo
- CloudFlare
- codici
- impegnata
- Uncommon
- Aziende
- azienda
- Compromissione
- potuto
- paesi
- corso
- Credenziali
- Clienti
- dati
- data-driven
- Difesa
- consegna
- do
- effettua
- Dont
- DoorDash
- facilmente
- facile
- dipendenti
- Evangelista
- di preciso
- Spiegare
- facilitando
- Impresa
- Aziende
- concentrato
- Nel
- modulo
- da
- pieno
- Guadagno
- guadagnato
- ottenere
- scopo
- buono
- Gruppo
- hacker
- caratteristiche
- Hard
- fatica
- Avere
- he
- spera
- ORE
- Come
- Tutorial
- HTTPS
- Identità
- identità e gestione degli accessi
- in
- incidente
- Compreso
- incredibilmente
- informazioni
- inizialmente
- Intelligence
- interno
- IT
- SUO
- jpg
- Tasti
- conosciuto
- Cognome
- In ritardo
- Guidato
- Collegamento
- Lista
- elenchi
- login
- lotto
- mailing
- gestione
- massiccio
- Maggio..
- analisi
- messaggi
- AMF
- Ridurre la perdita dienergia con una
- Mobile
- soldi
- Scopri di più
- soprattutto
- cambiano
- autenticazione a più fattori
- autenticazione a più fattori
- nomi
- no
- numeri
- ottenere
- ottenuto
- of
- OTTA
- on
- ONE
- Operatori
- or
- organizzazione
- organizzazioni
- nostro
- ancora
- Superare
- panoramica
- pagina
- partito
- Le password
- Persone
- cronologia
- phishing
- attacco di phishing
- campagna di phishing
- Siti di phishing
- telefono
- scegliere
- Platone
- Platone Data Intelligence
- PlatoneDati
- possibile
- Post
- potenziale
- primario
- editoriale
- ricevuto
- recente
- riconoscere
- raccomandato
- relazionato
- relativamente
- rapporto
- Segnalati
- ricercatori
- Risorse
- Rispondere
- risultato
- Rivelato
- Suddetto
- stesso
- Scala
- portata
- sicuro
- problemi di
- anziano
- inviato
- dovrebbero
- mostra
- Un'espansione
- semplicemente
- Siti
- alcuni
- Qualcuno
- iniziato
- dichiarazione
- Ancora
- rubare
- inviare
- di successo
- tale
- sistema
- SISTEMI DI TRATTAMENTO
- mirata
- mira
- obiettivi
- insegnato
- telecomunicazioni
- dire
- testo
- che
- Il
- loro
- Li
- poi
- teoria
- quelli
- minaccia
- attori della minaccia
- intelligenza delle minacce
- Legato
- tempo
- a
- strumenti
- Twilio
- Tipi di
- ultimo
- Sconosciuto
- uso
- utilizzato
- Utente
- utenti
- usa
- utilizzando
- venditore
- via
- vittime
- Prima
- we
- settimana
- è andato
- sono stati
- quando
- quale
- vincente
- con
- entro
- Lavora
- ha scritto
- ancora
- zefiro