Twilio Hackers esculpem credenciais de 10K Okta no ataque à cadeia de suprimentos em expansão

Os hackers que violaram o Twilio e o Cloudflare no início de agosto também se infiltraram em mais de 130 outras organizações na mesma campanha, coletando quase 10,000 conjuntos de credenciais Okta e autenticação de dois fatores (2FA).

Isso está de acordo com uma investigação do Group-IB, que descobriu que várias organizações conhecidas estavam entre os alvos de uma campanha massiva de phishing chamada 0ktapus. As iscas eram simples, como notificações falsas de que os usuários precisavam para redefinir suas senhas. Eles foram enviados por meio de textos com links para sites de phishing estáticos que espelhavam a página de autenticação Okta de cada organização específica.

“Apesar de usar métodos de baixa qualificação, [o grupo] conseguiu comprometer um grande número de organizações conhecidas”, disseram os pesquisadores em um comunicado. postagem de blog hoje. “Além disso, uma vez que os atacantes comprometeram uma organização, eles foram rapidamente capazes de articular e lançar ataques subsequentes à cadeia de abastecimento, indicando que o ataque foi planeado cuidadosamente e com antecedência.”

Esse foi o caso com o Violação Twilio isso ocorreu em 4 de agosto. Os invasores conseguiram fazer a engenharia social de vários funcionários para que entregassem suas credenciais Okta usadas para login único em toda a organização, permitindo-lhes obter acesso a sistemas internos, aplicativos e dados de clientes. A violação afetou cerca de 25 organizações downstream que usam a verificação telefônica e outros serviços da Twilio – incluindo Signal, que emitiu uma declaração confirmando que cerca de 1,900 usuários poderiam ter tido seus números de telefone sequestrados no incidente.

A maioria das 130 empresas visadas eram empresas de SaaS e software nos EUA – o que não é surpreendente, dado o natureza da cadeia de suprimentos do ataque.

Por exemplo, outras vítimas da campanha incluem as empresas de marketing por e-mail Klaviyo e Mailchimp. Em ambos os casos, os criminosos roubaram nomes, endereços, e-mails e números de telefone de seus clientes relacionados à criptomoeda, inclusive do cliente Mailchimp, DigitalOcean (que posteriormente abandonou o provedor).

In O caso da Cloudflare, alguns funcionários caíram na armadilha, mas o ataque foi frustrado graças às chaves de segurança física emitidas para todos os funcionários, necessárias para acessar todos os aplicativos internos.

Lior Yaari, CEO e cofundador da Grip Security, observa que a extensão e a causa da violação, além das descobertas do Grupo IB, ainda são desconhecidas, portanto, vítimas adicionais poderão vir à tona.

“Identificar todos os usuários de um aplicativo SaaS nem sempre é fácil para uma equipe de segurança, principalmente naquelas onde os usuários utilizam logins e senhas próprios”, alerta. “A descoberta do Shadow SaaS não é um problema simples, mas existem soluções que podem descobrir e redefinir senhas de usuários para o shadow SaaS.”

É hora de repensar o IAM?

No geral, o sucesso da campanha ilustra o problema de depender de seres humanos para detectar a engenharia social, e as lacunas nos sistemas existentes. gerenciamento de identidade e acesso (IAM).

“O ataque demonstra o quão frágil é o IAM hoje e por que a indústria deveria pensar em remover a carga de logins e senhas dos funcionários que são suscetíveis à engenharia social e a ataques de phishing sofisticados”, diz Yaari. “O melhor esforço proativo de remediação que as empresas podem fazer é fazer com que os usuários redefinam todas as suas senhas, especialmente Okta. "

O incidente também aponta que as empresas dependem cada vez mais do acesso dos seus funcionários a terminais móveis para serem produtivas na força de trabalho distribuída moderna, criando um novo e rico terreno de phishing para atacantes como os atores 0ktapus, de acordo com Richard Melick, diretor de relatórios de ameaças da Zimpério.

“Desde phishing a ameaças de rede, de aplicativos maliciosos a dispositivos comprometidos, é fundamental que as empresas reconheçam que a superfície de ataque móvel é o maior vetor desprotegido para seus dados e acesso”, escreveu ele em um comunicado enviado por e-mail.