O Group-IB descobriu que a campanha de phishing 0ktapus recentemente descoberta, direcionada aos funcionários da Twilio e da Cloudflare, fazia parte da cadeia de ataque massivo que resultou no comprometimento de 9.931.000 contas de mais de 130 organizações.
A campanha recebeu o codinome 0ktapus pelos pesquisadores do Group-IB porque se apresentava como um serviço popular de gerenciamento de identidade e acesso. A grande maioria das vítimas está localizada nos Estados Unidos e muitas delas usam os serviços de gerenciamento de identidade e acesso da Okta.
A equipe de inteligência de ameaças do Group-IB descobriu e analisou a infraestrutura de phishing dos invasores, incluindo domínios de phishing, o kit de phishing e o canal Telegram controlado pelos invasores para excluir informações comprometidas. Todas as organizações vítimas identificadas pelos pesquisadores do Grupo IB foram notificadas e receberam listas de contas comprometidas. A inteligência sobre a suposta identidade do agente da ameaça foi compartilhada com agências internacionais de aplicação da lei.
Cadeia de ataque contínua
Em 26 de julho de 2022, a equipe do Group IB recebeu uma solicitação de seu cliente Threat Intelligence solicitando informações adicionais sobre uma recente tentativa de phishing contra seus funcionários. A investigação descobriu que esses ataques de phishing, juntamente com os incidentes Twilio e Cloudflare, eram elos de uma cadeia. Uma campanha de phishing simples, mas altamente eficaz, de escala e alcance sem precedentes, ativa desde pelo menos março de 2022. Uma investigação sobre o caso do comprometido sinal de mensageiro mostrou que depois que os invasores comprometeram uma empresa, eles imediatamente lançaram novos ataques na cadeia de suprimentos.
Sorte ou planejamento perfeito?
“Pode ser que o ator da ameaça tenha tido muita sorte em seus ataques. No entanto, é muito mais provável que ele tenha planejado sua campanha de phishing com muito cuidado para lançar ataques sofisticados à cadeia de suprimentos. Ainda não está claro se os ataques foram totalmente planejados ou se várias medidas foram tomadas em cada etapa. Independentemente disso, a campanha 0ktapus foi incrivelmente bem-sucedida e toda a extensão pode não ser conhecida por algum tempo." disse Robert Martínez, Analista Sênior de Inteligência de Ameaças no Group-IB, Europa.
O principal objetivo dos invasores era obter credenciais de identidade Okta e códigos de autenticação de dois fatores (2FA) dos usuários das organizações visadas. Esses usuários receberam mensagens de texto com links para sites de phishing que se faziam passar pela página de autenticação Okta de sua organização.
De onde vieram as datas de lançamento do ataque?
Ainda não se sabe como os golpistas criaram sua lista de alvos e como conseguiram os números de telefone. De acordo com os dados comprometidos analisados pelo Group-IB, os agentes de ameaças começaram seus ataques visando operadoras móveis e empresas de telecomunicações. Eles poderiam ter capturado os dados necessários para novos ataques.
Extremamente muitos domínios de phishing
Os pesquisadores do Group-IB descobriram 169 domínios de phishing exclusivos envolvidos na campanha 0ktapus. Os domínios usavam palavras-chave como "SSO", "VPN", "OKTA", "MFA" e "HELP". Do ponto de vista da vítima, as páginas de phishing pareciam convincentes, pois eram extremamente semelhantes às páginas de autenticação legítimas.
O Group-IB fornece mais informações e resultados mais detalhados da investigação em seu site.
Mais em Group-IB.com