Los piratas informáticos de Twilio protegen las credenciales de 10 XNUMX Okta en un ataque a la cadena de suministro en expansión

Los piratas informáticos que violaron Twilio y Cloudflare a principios de agosto también se infiltraron en más de 130 organizaciones en la misma campaña, aspirando casi 10,000 conjuntos de Okta y credenciales de autenticación de dos factores (2FA).

Eso es según una investigación de Group-IB, que descubrió que varias organizaciones conocidas se encontraban entre los objetivos de una campaña de phishing masiva que llama 0ktapus. Los señuelos eran simples, como notificaciones falsas que los usuarios necesitaban para restablecer sus contraseñas. Se enviaron a través de mensajes de texto con enlaces a sitios de phishing estáticos que reflejan la página de autenticación de Okta de cada organización específica.

"A pesar de usar métodos de baja habilidad, [el grupo] pudo comprometer a una gran cantidad de organizaciones conocidas", dijeron los investigadores en un comunicado. publicación de blog de hoy. “Además, una vez que los atacantes comprometieron una organización, rápidamente pudieron girar y lanzar ataques posteriores a la cadena de suministro, lo que indica que el ataque se planeó cuidadosamente con anticipación”.

Tal fue el caso con el violación de Twilio eso ocurrió el 4 de agosto. Los atacantes pudieron aplicar ingeniería social a varios empleados para que entregaran sus credenciales de Okta utilizadas para el inicio de sesión único en toda la organización, lo que les permitió obtener acceso a los sistemas internos, las aplicaciones y los datos de los clientes. La brecha afectó a unas 25 organizaciones posteriores que utilizan la verificación telefónica de Twilio y otros servicios, incluida Signal, que emitió una declaración confirmando que alrededor de 1,900 usuarios podrían haber tenido sus números de teléfono secuestrados en el incidente.

La mayoría de las 130 empresas objetivo eran SaaS y empresas de software en los EE. UU., lo que no sorprende, dada la cadena de suministro naturaleza del ataque.

Por ejemplo, entre las víctimas adicionales de la campaña se incluyen las empresas de marketing por correo electrónico Klaviyo y MailChimp. En ambos casos, los delincuentes se llevaron los nombres, direcciones, correos electrónicos y números de teléfono de sus clientes relacionados con criptomonedas, incluido el cliente de Mailchimp, DigitalOcean (que posteriormente abandonó el proveedor).

In El caso de Cloudflare, algunos empleados cayeron en la trampa, pero el ataque fue frustrado gracias a las claves de seguridad físicas emitidas a todos los empleados que deben acceder a todas las aplicaciones internas.

Lior Yaari, director ejecutivo y cofundador de Grip Security, señala que aún se desconoce el alcance y la causa de la violación más allá de los hallazgos del Grupo IB, por lo que podrían salir a la luz víctimas adicionales.

“Identificar a todos los usuarios de una aplicación SaaS no siempre es fácil para un equipo de seguridad, especialmente aquellos en los que los usuarios usan sus propios nombres de usuario y contraseñas”, advierte. “El descubrimiento de Shadow SaaS no es un problema simple, pero existen soluciones que pueden descubrir y restablecer las contraseñas de usuario para Shadow SaaS”.

¿Es hora de repensar IAM?

En general, el éxito de la campaña ilustra el problema de depender de humanos para detectar la ingeniería social y las brechas en Gestión de identidad y acceso. (IAM) enfoques.

“El ataque demuestra cuán frágil es IAM hoy y por qué la industria debería pensar en eliminar la carga de los inicios de sesión y las contraseñas de los empleados que son susceptibles a la ingeniería social y al ataque de phishing sofisticado”, dice Yaari. “El mejor esfuerzo proactivo de remediación que pueden hacer las empresas es hacer que los usuarios restablezcan todas sus contraseñas, especialmente okta."

El incidente también señala que las empresas confían cada vez más en el acceso de sus empleados a los terminales móviles para ser productivos en la fuerza de trabajo distribuida moderna, lo que crea un terreno de phishing nuevo y rico para atacantes como los actores 0ktapus, según Richard Melick, director de informes de amenazas de Zimperium.

“Desde phishing hasta amenazas de red, aplicaciones maliciosas y dispositivos comprometidos, es fundamental que las empresas reconozcan que la superficie de ataque móvil es el vector desprotegido más grande para sus datos y acceso”, escribió en un comunicado enviado por correo electrónico.