Group-IB descubrió que la campaña de phishing 0ktapus descubierta recientemente y dirigida a los empleados de Twilio y Cloudflare era parte de la cadena de ataque masivo que resultó en el compromiso de 9.931.000 cuentas de más de 130 organizaciones.
Los investigadores de Group-IB denominaron a la campaña 0ktapus porque se hacía pasar por un popular servicio de administración de acceso e identidad. La gran mayoría de las víctimas se encuentran en los Estados Unidos y muchas de ellas utilizan los servicios de gestión de acceso e identidad de Okta.
El equipo de inteligencia de amenazas de Group-IB descubrió y analizó la infraestructura de phishing de los atacantes, incluidos los dominios de phishing, el kit de phishing y el canal de Telegram controlado por los atacantes para eliminar la información comprometida. Todas las organizaciones de víctimas identificadas por los investigadores del Grupo IB fueron notificadas y se les entregaron listas de cuentas comprometidas. La inteligencia sobre la identidad sospechosa del actor de la amenaza se ha compartido con las agencias internacionales de aplicación de la ley.
Cadena de ataque continuo
El 26 de julio de 2022, el equipo de Group IB recibió una solicitud de su cliente de Threat Intelligence solicitando información adicional sobre un reciente intento de phishing contra sus empleados. La investigación encontró que estos ataques de phishing, junto con los incidentes de Twilio y Cloudflare, eran eslabones de una cadena. Una campaña de phishing única simple pero altamente efectiva de escala y alcance sin precedentes, activa desde al menos marzo de 2022. Una investigación sobre el caso del comprometido señal de mensajero mostró que después de que los atacantes comprometieran a una empresa, inmediatamente lanzaron más ataques a la cadena de suministro.
¿Suerte o planificación perfecta?
“Puede ser que el actor de amenazas haya tenido mucha suerte en sus ataques. Sin embargo, es mucho más probable que planeó su campaña de phishing con mucho cuidado para lanzar ataques sofisticados a la cadena de suministro. Aún no está claro si los ataques fueron completamente planeados o si se tomaron varias medidas en cada etapa. De todos modos, la campaña 0ktapus ha sido increíblemente exitosa y es posible que no se conozca el alcance total durante algún tiempo". dijo Robert Martínez, analista senior de inteligencia de amenazas en Group-IB, Europa.
El objetivo principal de los actores de amenazas era obtener las credenciales de identidad de Okta y los códigos de autenticación de dos factores (2FA) de los usuarios de las organizaciones objetivo. Estos usuarios recibieron mensajes de texto con enlaces a sitios de phishing que se hicieron pasar por la página de autenticación de Okta de su organización.
¿De dónde provienen las fechas de lanzamiento del ataque?
Todavía se desconoce cómo los estafadores crearon su lista de objetivos y cómo obtuvieron los números de teléfono. Según los datos comprometidos analizados por Group-IB, los actores de amenazas comenzaron sus ataques apuntando a operadores móviles y compañías de telecomunicaciones. Podrían haber capturado los datos necesarios para futuros ataques.
Extremadamente muchos dominios de phishing
Los investigadores de Group-IB descubrieron 169 dominios de phishing únicos involucrados en la campaña 0ktapus. Los dominios utilizaron palabras clave como "SSO", "VPN", "OKTA", "MFA" y "HELP". Desde el punto de vista de la víctima, las páginas de phishing parecían convincentes ya que eran extremadamente similares a las páginas de autenticación legítimas.
Group-IB proporciona más información y resultados más detallados de la investigación en su sitio web.
Más en Group-IB.com