Les pirates qui ont piraté Twilio et Cloudflare plus tôt en août ont également infiltré plus de 130 autres organisations au cours de la même campagne, aspirateur de près de 10,000 2 ensembles d'identifiants Okta et d'authentification à deux facteurs (XNUMXFA).
C’est ce que révèle une enquête du Group-IB, qui a révélé que plusieurs organisations bien connues figuraient parmi les personnes ciblées dans une campagne de phishing massive appelée 0ktapus. Les leurres étaient simples, comme de fausses notifications dont les utilisateurs avaient besoin pour réinitialiser leur mot de passe. Ils étaient envoyés via des textes contenant des liens vers des sites de phishing statiques reflétant la page d'authentification Okta de chaque organisation spécifique.
"Malgré l'utilisation de méthodes peu qualifiées, [le groupe] a réussi à compromettre un grand nombre d'organisations bien connues", ont déclaré les chercheurs dans un rapport. article de blog aujourd'hui. « De plus, une fois que les attaquants ont compromis une organisation, ils ont pu rapidement pivoter et lancer des attaques ultérieures sur la chaîne d’approvisionnement, ce qui indique que l’attaque a été soigneusement planifiée à l’avance. »
Tel a été le cas avec le Violation de Twilio qui s'est produit le 4 août. Les attaquants ont réussi à inciter plusieurs employés à transmettre leurs informations d'identification Okta utilisées pour l'authentification unique dans toute l'organisation, leur permettant ainsi d'accéder aux systèmes internes, aux applications et aux données clients. La violation a affecté environ 25 organisations en aval qui utilisent la vérification téléphonique de Twilio et d'autres services, y compris Signal, qui a émis une déclaration confirmant qu'environ 1,900 XNUMX utilisateurs auraient pu voir leur numéro de téléphone détourné lors de l'incident.
La majorité des 130 entreprises ciblées étaient des éditeurs de logiciels et de SaaS aux États-Unis – ce qui n’est pas surprenant compte tenu de la situation. nature de la chaîne d’approvisionnement de l’attaque.
Par exemple, parmi les autres victimes de la campagne figurent les sociétés de marketing par courrier électronique Klaviyo et Mailchimp. Dans les deux cas, les escrocs se sont emparés des noms, adresses, e-mails et numéros de téléphone de leurs clients liés aux cryptomonnaies, y compris celui du client Mailchimp DigitalOcean (qui a ensuite a abandonné le fournisseur).
In Le cas de Cloudflare, certains employés sont tombés dans le piège, mais l'attaque a été déjouée grâce aux clés de sécurité physiques délivrées à chaque employé et nécessaires pour accéder à toutes les applications internes.
Lior Yaari, PDG et co-fondateur de Grip Security, note que l'étendue et la cause de la violation au-delà des conclusions du Groupe IB sont encore inconnues, de sorte que d'autres victimes pourraient être découvertes.
« Identifier tous les utilisateurs d’une application SaaS n’est pas toujours simple pour une équipe de sécurité, notamment lorsque les utilisateurs utilisent leurs propres identifiants et mots de passe », prévient-il. "La découverte du Shadow SaaS n'est pas un problème simple, mais il existe des solutions qui peuvent découvrir et réinitialiser les mots de passe des utilisateurs pour le Shadow SaaS."
Il est temps de repenser l’IAM ?
Dans l’ensemble, le succès de la campagne illustre la difficulté de s’appuyer sur les humains pour détecter l’ingénierie sociale, ainsi que les lacunes des systèmes existants. gestion des identités et des accès (IAM).
« L'attaque démontre à quel point l'IAM est fragile aujourd'hui et pourquoi le secteur devrait penser à supprimer le fardeau des identifiants et des mots de passe des employés qui sont vulnérables à l'ingénierie sociale et aux attaques de phishing sophistiquées », déclare Yaari. « Le meilleur effort de remédiation proactif que les entreprises puissent faire est de demander aux utilisateurs de réinitialiser tous leurs mots de passe, surtout Okta. »
L'incident souligne également que les entreprises s'appuient de plus en plus sur l'accès de leurs employés aux points de terminaison mobiles pour être productives au sein d'une main-d'œuvre distribuée moderne, créant ainsi un nouveau terrain de phishing riche pour les attaquants comme les acteurs 0ktapus, selon Richard Melick, directeur du reporting sur les menaces chez Zimpérium.
« Du phishing aux menaces réseau, des applications malveillantes aux appareils compromis, il est essentiel que les entreprises reconnaissent que la surface d'attaque mobile est le plus grand vecteur non protégé de leurs données et de leur accès », a-t-il écrit dans un communiqué envoyé par courrier électronique.
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
