Al menos dos empresas sensibles a la seguridad, Twilio y Cloudflare, fueron objeto de un ataque de phishing por parte de un actor de amenazas avanzado que tenía en su poder los números de teléfono residenciales no solo de los empleados, sino también de sus familiares.
En el caso de Twilio, un proveedor de servicios de comunicación y autenticación de dos factores con sede en San Francisco, los piratas informáticos desconocidos lograron robar las credenciales de un número no revelado de empleados y, desde allí, obtuvieron acceso no autorizado a los sistemas internos de la empresa, el empresa dijo. El actor de amenazas luego usó ese acceso a los datos en un número no revelado de cuentas de clientes.
Dos días después de la divulgación de Twilio, la red de entrega de contenido Cloudflare, también con sede en San Francisco, reveló que también había sido atacada de manera similar. Llamarada de la nube dijo que tres de sus empleados cayeron en la estafa de phishing, pero que el uso de claves MFA basadas en hardware por parte de la empresa impidió que los posibles intrusos accedieran a su red interna.
Bien organizado, sofisticado, metódico.
En ambos casos, los atacantes consiguieron de alguna manera los números de teléfono de casa y trabajo de ambos empleados y, en algunos casos, de sus familiares. Luego, los atacantes enviaron mensajes de texto disfrazados para parecer comunicaciones oficiales de la empresa. Los mensajes hacían afirmaciones falsas, como un cambio en el horario de un empleado o que había cambiado la contraseña que usaban para iniciar sesión en su cuenta de trabajo. Una vez que un empleado ingresó las credenciales en el sitio falso, inició la descarga de una carga útil de phishing que, al hacer clic, instaló el software de escritorio remoto de AnyDesk.
Llamarada de la nube
Twilio
El actor de amenazas llevó a cabo su ataque con precisión casi quirúrgica. Cuando los ataques a Cloudflare, al menos 76 empleados recibieron un mensaje en el primer minuto. Los mensajes provenían de una variedad de números de teléfono pertenecientes a T-Mobile. El dominio utilizado en el ataque había sido registrado solo 40 minutos antes, frustrando el protección de dominio Cloudflare utiliza para descubrir sitios impostores.
“Con base en estos factores, tenemos razones para creer que los actores de amenazas están bien organizados, son sofisticados y metódicos en sus acciones”, escribió Twilio. “Todavía no hemos identificado a los actores de amenazas específicos que trabajan aquí, pero nos hemos puesto en contacto con las fuerzas del orden público en nuestros esfuerzos. Los ataques de ingeniería social son, por su propia naturaleza, complejos, avanzados y creados para desafiar incluso las defensas más avanzadas”.
Matthew Prince, Daniel Stinson-Diess, Sourov Zaman, director ejecutivo, ingeniero de seguridad sénior y líder de respuesta a incidentes de Cloudflare, respectivamente, tenían una opinión similar.
“Este fue un ataque sofisticado dirigido a empleados y sistemas de tal manera que creemos que es probable que la mayoría de las organizaciones sean violadas”, escribieron. “Dado que el atacante se dirige a varias organizaciones, queríamos compartir aquí un resumen de lo que vimos exactamente para ayudar a otras empresas a reconocer y mitigar este ataque”.
Twilio y Cloudflare dijeron que no saben cómo los phishers obtuvieron los números de empleados.
Es impresionante que, a pesar de que tres de sus empleados cayeron en la estafa, Cloudflare impidió que sus sistemas fueran violados. El uso por parte de la empresa de claves de seguridad basadas en hardware que cumplen con el estándar FIDO2 para MFA fue una razón crítica. Si la empresa se hubiera basado en contraseñas de un solo uso de mensajes de texto enviados o incluso generadas por una aplicación de autenticación, probablemente habría sido una historia diferente.
Los funcionarios de Cloudflare explicaron:
Cuando una víctima completaba la página de phishing, las credenciales se transmitían inmediatamente al atacante a través del servicio de mensajería Telegram. Esta retransmisión en tiempo real era importante porque la página de phishing también solicitaría un código de contraseña de un solo uso basado en el tiempo (TOTP).
Presuntamente, el atacante recibiría las credenciales en tiempo real, las ingresaría en la página de inicio de sesión real de la empresa víctima y, para muchas organizaciones, generaría un código que se enviaría al empleado por SMS o se mostraría en un generador de contraseñas. Luego, el empleado ingresaría el código TOTP en el sitio de phishing y también se lo transmitiría al atacante. El atacante podría entonces, antes de que caducara el código TOTP, usarlo para acceder a la página de inicio de sesión real de la empresa, derrotando a la mayoría de las implementaciones de autenticación de dos factores.
Llamarada de la nube
Confirmamos que tres empleados de Cloudflare cayeron en el mensaje de phishing e ingresaron sus credenciales. Sin embargo, Cloudflare no usa códigos TOTP. En cambio, cada empleado de la empresa recibe una clave de seguridad compatible con FIDO2 de un proveedor como YubiKey. Dado que las claves físicas están vinculadas a los usuarios e implementan el enlace de origen, incluso una operación de phishing en tiempo real sofisticada como esta no puede recopilar la información necesaria para iniciar sesión en cualquiera de nuestros sistemas. Si bien el atacante intentó iniciar sesión en nuestros sistemas con las credenciales de nombre de usuario y contraseña comprometidos, no pudo superar el requisito de la clave física.
Cloudflare continuó diciendo que no estaba disciplinando a los empleados que cayeron en la estafa y explicó por qué.
“Tener una cultura paranoica pero libre de culpas es fundamental para la seguridad”, escribieron los funcionarios. “Los tres empleados que cayeron en la estafa de phishing no fueron reprendidos. Todos somos humanos y cometemos errores. Es de vital importancia que cuando lo hagamos, los informemos y no los ocultemos”.
