Los ataques dirigidos a los empleados de Twilio y Cloudflare están vinculados a una campaña masiva de phishing que resultó en el compromiso de 9,931 cuentas en más de 130 organizaciones. Las campañas están vinculadas al abuso enfocado de la identidad y la empresa de gestión de acceso Okta, que ganó a los actores de amenazas el apodo de 0ktapus, por los investigadores.

“El objetivo principal de los actores de amenazas era obtener las credenciales de identidad de Okta y los códigos de autenticación multifactor (MFA) de los usuarios de las organizaciones objetivo”, escribieron los investigadores de Group-IB. en un informe reciente. “Estos usuarios recibieron mensajes de texto que contenían enlaces a sitios de phishing que imitaban la página de autenticación de Okta de su organización”.

Se vieron afectadas 114 empresas con sede en los EE. UU., con víctimas adicionales de rociado en 68 países adicionales.

Roberto Martínez, analista senior de inteligencia de amenazas en Group-IB, dijo que el alcance de los ataques aún se desconoce. “La campaña 0ktapus ha sido increíblemente exitosa, y es posible que no se conozca su escala completa durante algún tiempo”, dijo.

Lo que querían los hackers de 0ktapus

Se cree que los atacantes de 0ktapus comenzaron su campaña apuntando a las empresas de telecomunicaciones con la esperanza de obtener acceso a los números de teléfono de los objetivos potenciales.

Si bien no están seguros de cómo los atacantes obtuvieron una lista de números de teléfono utilizados en ataques relacionados con MFA, una teoría que postulan los investigadores es que los atacantes de 0ktapus comenzaron su campaña dirigida a las empresas de telecomunicaciones.

“[S]egún los datos comprometidos analizados por Group-IB, los actores de amenazas comenzaron sus ataques apuntando a operadores móviles y compañías de telecomunicaciones y podrían haber recopilado los números de esos ataques iniciales”, escribieron los investigadores.

Luego, los atacantes enviaron enlaces de phishing a los objetivos a través de mensajes de texto. Esos enlaces llevaban a páginas web que imitaban la página de autenticación de Okta utilizada por el empleador del objetivo. Luego se les pidió a las víctimas que enviaran las credenciales de identidad de Okta además de los códigos de autenticación de múltiples factores (MFA) que los empleados usaron para asegurar sus inicios de sesión.

En un acompañante blog técnico, los investigadores de Group-IB explican que los compromisos iniciales de la mayoría de las empresas de software como servicio fueron la fase uno en un ataque de múltiples frentes. El objetivo final de 0ktapus era acceder a las listas de correo de la empresa oa los sistemas orientados al cliente con la esperanza de facilitar los ataques a la cadena de suministro.

En un posible incidente relacionado, pocas horas después de que Group-IB publicara su informe a fines de la semana pasada, la firma DoorDash reveló que fue objeto de un ataque con todas las características de un ataque al estilo 0ktapus.

Radio de explosión: Ataques MFA

En un del blog DoorDash revelado; "una parte no autorizada usó las credenciales robadas de los empleados del proveedor para obtener acceso a algunas de nuestras herramientas internas". Los atacantes, según la publicación, robaron información personal, incluidos nombres, números de teléfono, correo electrónico y direcciones de entrega, de clientes y repartidores.

En el curso de su campaña, el atacante comprometió 5,441 códigos MFA, informó Group-IB.

“Las medidas de seguridad como MFA pueden parecer seguras… pero está claro que los atacantes pueden superarlas con herramientas relativamente simples”, escribieron los investigadores.

“Este es otro ataque de phishing que muestra lo fácil que es para los adversarios eludir la autenticación multifactor supuestamente segura”, escribió Roger Grimes, evangelista de defensa basada en datos de KnowBe4, en un comunicado por correo electrónico. “Simplemente no sirve de nada mover a los usuarios de contraseñas fáciles de phishing a MFA fácil de phishing. Es mucho trabajo duro, recursos, tiempo y dinero, para no obtener ningún beneficio”.

Para mitigar las campañas de estilo 0ktapus, los investigadores recomendaron una buena higiene en torno a las URL y las contraseñas, y el uso de FIDO2-claves de seguridad compatibles con MFA.

“Cualquiera que sea el MFA que alguien use”, aconsejó Grimes, “se debe enseñar al usuario sobre los tipos comunes de ataques que se cometen contra su forma de MFA, cómo reconocer esos ataques y cómo responder. Hacemos lo mismo cuando les decimos a los usuarios que elijan contraseñas, pero no cuando les decimos que usen un MFA supuestamente más seguro”.