Mais de 130 empresas se envolveram em uma ampla campanha de phishing que falsificou um sistema de autenticação multifatorial.
Os ataques direcionados aos funcionários da Twilio e da Cloudflare estão vinculados a uma campanha massiva de phishing que resultou no comprometimento de 9,931 contas em mais de 130 organizações. As campanhas estão ligadas ao abuso direcionado da empresa de gerenciamento de identidade e acesso Okta, que deu aos atores da ameaça o apelido de 0ktapus, pelos pesquisadores.
“O objetivo principal dos atores da ameaça era obter credenciais de identidade Okta e códigos de autenticação multifator (MFA) dos usuários das organizações visadas”, escreveram os pesquisadores do Group-IB. em um relatório recente. “Esses usuários receberam mensagens de texto contendo links para sites de phishing que imitavam a página de autenticação Okta de sua organização.”
Foram afetadas 114 empresas sediadas nos EUA, com vítimas adicionais espalhadas por 68 países adicionais.
Roberto Martinez, analista sênior de inteligência de ameaças do Group-IB, disse que o escopo dos ataques ainda é desconhecido. “A campanha 0ktapus tem sido incrivelmente bem-sucedida e sua escala total pode não ser conhecida por algum tempo”, disse ele.
O que os hackers do 0ktapus queriam
Acredita-se que os atacantes do 0ktapus tenham começado a sua campanha visando empresas de telecomunicações na esperança de obter acesso aos números de telefone de potenciais alvos.
Embora não tenham certeza de como exatamente os atores da ameaça obtiveram uma lista de números de telefone usados em ataques relacionados ao MFA, uma teoria postulada pelos pesquisadores é que os invasores do 0ktapus começaram sua campanha visando empresas de telecomunicações.
“De acordo com os dados comprometidos analisados pelo Grupo-IB, os agentes da ameaça iniciaram os seus ataques visando operadoras móveis e empresas de telecomunicações e poderiam ter recolhido os números desses ataques iniciais”, escreveram os investigadores.
Em seguida, os invasores enviaram links de phishing aos alvos por meio de mensagens de texto. Esses links levavam a páginas que imitavam a página de autenticação Okta usada pelo empregador do alvo. As vítimas foram então solicitadas a enviar credenciais de identidade Okta, além de códigos de autenticação multifator (MFA) que os funcionários usaram para proteger seus logins.
Num acompanhamento blog técnico, pesquisadores do Group-IB explicam que os compromissos iniciais, principalmente de empresas de software como serviço, foram a primeira fase de um ataque multifacetado. O objetivo final do 0ktapus era acessar listas de e-mail de empresas ou sistemas voltados para clientes na esperança de facilitar ataques à cadeia de suprimentos.
Em um possível incidente relacionado, poucas horas após o Grupo-IB publicar seu relatório no final da semana passada, a empresa DoorDash revelou que foi alvo de um ataque com todas as características de um ataque do tipo 0ktapus.
Raio de explosão: ataques MFA
Em um artigo do no blog DoorDash revelado; “Parte não autorizada usou credenciais roubadas de funcionários do fornecedor para obter acesso a algumas de nossas ferramentas internas.” Os invasores, segundo a postagem, roubaram informações pessoais – incluindo nomes, números de telefone, e-mail e endereços de entrega – de clientes e entregadores.
No decorrer de sua campanha, o invasor comprometeu 5,441 códigos MFA, informou o Grupo-IB.
“Medidas de segurança como MFA podem parecer seguras… mas está claro que os invasores podem superá-las com ferramentas relativamente simples”, escreveram os pesquisadores.
“Este é mais um ataque de phishing que mostra como é fácil para os adversários contornar a autenticação multifatorial supostamente segura”, escreveu Roger Grimes, evangelista de defesa baseado em dados da KnowBe4, em comunicado por e-mail. “Simplesmente não adianta mover os usuários de senhas facilmente detectáveis para phishing para MFA facilmente detectáveis. É muito trabalho duro, recursos, tempo e dinheiro, para não obter nenhum benefício.”
Para mitigar campanhas estilo 0ktapus, os pesquisadores recomendaram uma boa higiene em torno de URLs e senhas, e usar FIDO2chaves de segurança compatíveis com MFA.
“Qualquer que seja o MFA que alguém use”, aconselhou Grimes, “o usuário deve ser ensinado sobre os tipos comuns de ataques cometidos contra sua forma de MFA, como reconhecer esses ataques e como responder. Fazemos o mesmo quando dizemos aos usuários para escolherem senhas, mas não o fazemos quando lhes dizemos para usar MFA supostamente mais seguro.”
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
- PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
- PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
- PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
- Fonte: https://threatpost.com/0ktapus-victimize-130-firms/180487/
- :tem
- :é
- :não
- 114
- 9
- a
- Sobre
- abuso
- Acesso
- gerenciamento de acesso
- Segundo
- Contas
- em
- atores
- Adição
- Adicional
- endereços
- aconselhado
- contra
- Todos os Produtos
- an
- analista
- analisado
- e
- Outro
- qualquer
- aparecer
- SOMOS
- por aí
- AS
- At
- ataque
- Ataques
- Autenticação
- BE
- sido
- começou
- começou
- ser
- Acredita
- beneficiar
- mas a
- by
- Campanha
- Campanhas
- CAN
- remover filtragem
- CloudFlare
- códigos
- comprometido
- comum
- Empresas
- Empresa
- Comprometido
- poderia
- países
- curso
- Credenciais
- Clientes
- dados,
- orientado por dados
- Defesa
- Entrega
- do
- parece
- não
- DoorDash
- facilmente
- fácil
- colaboradores
- Evangelista
- exatamente
- Explicação
- facilitando
- Empresa
- empresas
- focado
- Escolha
- formulário
- da
- cheio
- Ganho
- ganhou
- ter
- meta
- Bom estado, com sinais de uso
- Grupo
- hackers
- características
- Queijos duros
- trabalho duro
- Ter
- he
- espera
- HORÁRIO
- Como funciona o dobrador de carta de canal
- Como Negociar
- HTTPS
- Identidade
- gerenciamento de identidade e acesso
- in
- incidente
- Incluindo
- incrivelmente
- INFORMAÇÕES
- do estado inicial,
- Inteligência
- interno
- IT
- ESTÁ
- jpg
- chaves
- conhecido
- Sobrenome
- Atrasado
- levou
- Links
- Lista
- listas
- logins
- lote
- correspondência
- de grupos
- maciço
- Posso..
- medidas
- mensagens
- MFA
- Mitigar
- Móvel Esteira
- dinheiro
- mais
- na maioria das vezes
- mover
- Autenticação multifatorial
- autenticação multifator
- nomes
- não
- números
- obter
- obtido
- of
- OKTA
- on
- ONE
- operadores
- or
- organização
- organizações
- A Nossa
- Acima de
- Superar
- Visão geral
- página
- festa
- senhas
- Pessoas
- pessoal
- Phishing
- ataque de phishing
- campanha de phishing
- Sites de phishing
- telefone
- escolher
- platão
- Inteligência de Dados Platão
- PlatãoData
- possível
- Publique
- potencial
- primário
- Publishing
- recebido
- recentemente
- reconhecer
- Recomenda
- relacionado
- relativamente
- Denunciar
- Informou
- pesquisadores
- Recursos
- Responder
- resultou
- Revelado
- Dito
- mesmo
- Escala
- escopo
- seguro
- segurança
- senior
- enviei
- rede de apoio social
- mostrando
- simples
- simplesmente
- Locais
- alguns
- Alguém
- começado
- Declaração
- Ainda
- roubado
- enviar
- bem sucedido
- tal
- .
- sistemas
- visadas
- alvejando
- tem como alvo
- ensinado
- telecomunicações
- dizer
- texto
- que
- A
- deles
- Eles
- então
- teoria
- aqueles
- ameaça
- atores de ameaças
- inteligência de ameaças
- Amarrado
- tempo
- para
- ferramentas
- Twilio
- tipos
- final
- desconhecido
- usar
- usava
- Utilizador
- usuários
- usos
- utilização
- fornecedor
- via
- vítimas
- foi
- we
- semana
- fui
- foram
- quando
- qual
- vitória
- de
- dentro
- Atividades:
- escreveu
- ainda
- zefirnet
