I tentacoli del gruppo di minacce "0ktapus" uccidono 130 aziende

Gli attacchi mirati ai dipendenti di Twilio e Cloudflare sono legati a una massiccia campagna di phishing che ha compromesso 9,931 account di oltre 130 organizzazioni. Le campagne sono legate all'abuso mirato di identità e società di gestione degli accessi Okta, che ha fatto guadagnare agli autori delle minacce il soprannome di 0ktapus, da parte dei ricercatori.

"L'obiettivo principale degli autori delle minacce era ottenere credenziali di identità Okta e codici di autenticazione a più fattori (MFA) dagli utenti delle organizzazioni prese di mira", hanno scritto i ricercatori di Group-IB in un recente rapporto. "Questi utenti hanno ricevuto messaggi di testo contenenti collegamenti a siti di phishing che imitavano la pagina di autenticazione Okta della loro organizzazione."

Sono state colpite 114 aziende con sede negli Stati Uniti, con ulteriori vittime sparse in altri 68 paesi.

Roberto Martinez, analista senior di threat intelligence presso Group-IB, ha affermato che la portata degli attacchi è ancora sconosciuta. "La campagna 0ktapus ha avuto un successo incredibile e la sua portata potrebbe non essere conosciuta per qualche tempo", ha detto.

Cosa volevano gli hacker di 0ktapus

Si ritiene che gli aggressori di 0ktapus abbiano iniziato la loro campagna prendendo di mira le società di telecomunicazioni nella speranza di ottenere l'accesso ai numeri di telefono di potenziali bersagli.

Pur non essendo sicuri di come gli aggressori abbiano ottenuto un elenco di numeri di telefono utilizzati negli attacchi MFA, una teoria ipotizzata dai ricercatori è che gli aggressori di 0ktapus abbiano iniziato la loro campagna prendendo di mira le società di telecomunicazioni.

"Secondo i dati compromessi analizzati da Group-IB, gli autori delle minacce hanno iniziato i loro attacchi prendendo di mira gli operatori mobili e le società di telecomunicazioni e avrebbero potuto raccogliere i numeri da quegli attacchi iniziali", hanno scritto i ricercatori.

Successivamente, gli aggressori hanno inviato collegamenti di phishing agli obiettivi tramite messaggi di testo. Questi collegamenti portavano a pagine web che imitavano la pagina di autenticazione Okta utilizzata dal datore di lavoro preso di mira. Alle vittime è stato quindi chiesto di inviare le credenziali di identità di Okta oltre ai codici di autenticazione a più fattori (MFA) utilizzati dai dipendenti per proteggere i propri accessi.

In un accompagnamento blog tecnico, i ricercatori del Group-IB spiegano che le compromissioni iniziali della maggior parte delle aziende di software come servizio erano la prima fase di un attacco su più fronti. L'obiettivo finale di 0ktapus era accedere alle mailing list aziendali o ai sistemi rivolti ai clienti nella speranza di facilitare gli attacchi alla catena di fornitura.

In un possibile incidente correlato, poche ore dopo la pubblicazione del rapporto di Group-IB alla fine della scorsa settimana, la società DoorDash ha rivelato di essere stata presa di mira in un attacco con tutte le caratteristiche di un attacco in stile 0ktapus.

Raggio di esplosione: attacchi MFA

In un post sul blog DoorDash rivelato; "Una parte non autorizzata ha utilizzato le credenziali rubate dei dipendenti del fornitore per ottenere l'accesso ad alcuni dei nostri strumenti interni." Gli aggressori, secondo il post, hanno poi rubato informazioni personali – inclusi nomi, numeri di telefono, indirizzi e-mail e di consegna – da clienti e addetti alle consegne.

Nel corso della sua campagna l'aggressore ha compromesso 5,441 codici MFA, ha riferito Group-IB.

“Le misure di sicurezza come l’AMF possono sembrare sicure… ma è chiaro che gli aggressori possono superarle con strumenti relativamente semplici”, hanno scritto i ricercatori.

"Questo è ancora un altro attacco di phishing che mostra quanto sia facile per gli avversari aggirare l'autenticazione a più fattori apparentemente sicura", ha scritto Roger Grimes, evangelista della difesa basata sui dati presso KnowBe4, in una dichiarazione via e-mail. “Semplicemente non serve a nulla spostare gli utenti da password facilmente a rischio di phishing a MFA facilmente a rischio di phishing. Ci vuole tanto duro lavoro, risorse, tempo e denaro per non ottenere alcun beneficio”.

Per mitigare le campagne in stile 0ktapus, i ricercatori hanno raccomandato una buona igiene riguardo a URL, password e utilizzo FIDO2chiavi di sicurezza conformi per MFA.

“Qualunque sia l’MFA utilizzato da qualcuno”, ha consigliato Grimes, “l’utente dovrebbe essere istruito sui tipi comuni di attacchi commessi contro la sua forma di MFA, come riconoscere tali attacchi e come rispondere. Facciamo lo stesso quando diciamo agli utenti di scegliere le password, ma non lo facciamo quando diciamo loro di utilizzare un MFA apparentemente più sicuro."