Hace dos semanas, Twilio y Cloudflare detallaron un ataque de phishing tan metódico y bien orquestado que engañó a los empleados de ambas empresas para que revelaran las credenciales de sus cuentas. En el caso de Twilio, el ataque anuló su protección 2FA y dio a los actores de amenazas acceso a sus sistemas internos. Ahora, los investigadores han descubierto evidencia de que los ataques fueron parte de una campaña masiva de phishing que obtuvo casi 10,000 credenciales de cuentas pertenecientes a 130 organizaciones.
Según las revelaciones proporcionadas por Twilio y Cloudflare, ya estaba claro que los ataques de phishing se ejecutaron con precisión y planificación casi quirúrgicas. De alguna manera, el actor de amenazas había obtenido números de teléfono privados de los empleados y, en algunos casos, de sus familiares. Luego, los atacantes enviaron mensajes de texto que instaban a los empleados a iniciar sesión en lo que parecía ser la página de autenticación legítima de sus empleadores.
En 40 minutos, 76 empleados de Cloudflare recibieron el mensaje de texto, que incluía un nombre de dominio registrado solo 40 minutos antes, frustrando las medidas de seguridad que la empresa tiene para detectar sitios que suplantan su nombre. Los phishers también usaron un sitio proxy para realizar secuestros en tiempo real, un método que les permitió capturar los códigos de acceso únicos que Twilio usó en sus verificaciones 2FA e ingresarlos en el sitio real. Casi de inmediato, el actor de amenazas utilizó su acceso a la red de Twilio para obtener números de teléfono pertenecientes a 1900 usuarios de Signal Messenger.
Escala y alcance sin precedentes
A reporte La firma de seguridad Group-IB publicó el jueves que una investigación que realizó en nombre de un cliente reveló una campaña mucho más grande. Apodado “0ktapus”, ha utilizado las mismas técnicas durante los últimos seis meses para apuntar a 130 organizaciones y phishing con éxito a 9931 credenciales. El actor de amenazas detrás de los ataques acumuló no menos de 169 dominios de Internet únicos para atrapar a sus objetivos. Los sitios, que incluían palabras clave como “SSO”, “VPN”, “MFA” y “HELP” en sus nombres de dominio, se crearon utilizando el mismo kit de phishing previamente desconocido.
“La investigación reveló que estos ataques de phishing, así como los incidentes en Twilio y Cloudflare, eran eslabones de una cadena: una campaña de phishing única simple pero muy efectiva sin precedentes en escala y alcance que ha estado activa desde al menos marzo de 2022”, Group-IB escribieron los investigadores. “Como mostraron las revelaciones de Signal, una vez que los atacantes comprometían una organización, rápidamente podían girar y lanzar ataques posteriores a la cadena de suministro”.
Continuaron:
Si bien el actor de amenazas puede haber tenido suerte en sus ataques, es mucho más probable que haya planeado cuidadosamente su campaña de phishing para lanzar ataques sofisticados a la cadena de suministro. Aún no está claro si los ataques fueron planeados de principio a fin o si se tomaron acciones oportunistas en cada etapa. Independientemente, la campaña 0ktapus ha sido increíblemente exitosa, y es posible que no se conozca su escala completa durante algún tiempo.
Group-IB no identificó a ninguna de las empresas comprometidas, excepto para decir que al menos 114 de ellas están ubicadas o tienen presencia en los EE. UU. La mayoría de los objetivos proporcionan TI, desarrollo de software y servicios en la nube. Okta el jueves reveló en un correo que estaba entre las víctimas.
El kit de phishing llevó a los investigadores a un canal de Telegram que los actores de amenazas usaron para eludir las protecciones 2FA que se basan en contraseñas de un solo uso. Cuando un objetivo ingresaba un nombre de usuario y una contraseña en el sitio falso, esa información se transmitía inmediatamente a través del canal al actor de amenazas, que luego la ingresaba en el sitio real. Luego, el sitio falso le indicaría al objetivo que ingrese el código de autenticación único. Cuando el objetivo cumplía, el código se enviaba al atacante, lo que le permitía ingresarlo en el sitio real antes de que el código caducara.
La investigación de Group-IB descubrió detalles sobre uno de los administradores del canal que usa el identificador X. Seguir ese rastro condujo a una cuenta de Twitter y GitHub que los investigadores creen que es propiedad de la misma persona. Aparece un perfil de usuario que muestra que la persona reside en Carolina del Norte.
A pesar de este posible error, la campaña ya era una de las mejor ejecutadas de la historia. El hecho de que se realizó a escala durante seis meses, dijo Group-IB, lo hace aún más formidable.
“Los métodos utilizados por este actor de amenazas no son especiales, pero la planificación y cómo pasó de una empresa a otra hace que valga la pena investigar la campaña”, concluyó el informe del jueves. “0ktapus muestra cuán vulnerables son las organizaciones modernas a algunos ataques básicos de ingeniería social y cuán trascendentales pueden ser los efectos de tales incidentes para sus socios y clientes”.