Se ha revelado que una campaña de phishing a gran escala, denominada 0ktapus, que atrapó a usuarios desprevenidos en Cloudflare y Twilio, entre otros, y condujo a un pequeño ataque contra el servicio de mensajería seguro Signal, comprometió casi 10,000 cuentas de usuario en más de 130 organizaciones de todo el mundo mediante la explotación de la marca del especialista en gestión de acceso e identidad (IAM) Okta.
Esto es según los investigadores de Group-IB, que publicaron hoy un análisis de la infraestructura de phishing de los atacantes, los dominios de phishing, los kits de phishing y los canales de comunicaciones de Telegram que utilizaron para dejar caer la información comprometida.
Group-IB, con sede en Singapur y fundado en Rusia, dijo que abrió una investigación a fines de julio cuando uno de sus clientes de inteligencia de amenazas le pidió más información sobre un intento de phishing dirigido a sus empleados.
La investigación posterior llevó a sus investigadores a concluir que el ataque, así como los de Cloudflare y Twilio, fueron el resultado de una campaña de phishing “simple pero muy efectiva” que “no tenía precedentes en escala y alcance” y que había estado en curso desde marzo de 2022. .
“Si bien el actor de amenazas puede haber tenido suerte en sus ataques, es mucho más probable que haya planeado cuidadosamente su campaña de phishing para lanzar ataques sofisticados a la cadena de suministro”, dijo Roberto Martínez, analista senior de inteligencia de amenazas de Group-IB Europe.
“Aún no está claro si los ataques fueron planeados de principio a fin o si se tomaron acciones oportunistas en cada etapa. Independientemente, la campaña 0ktapus ha sido increíblemente exitosa, y es posible que no se conozca su escala completa durante algún tiempo”.
Group-IB reveló que el objetivo principal de los actores de amenazas había sido obtener las credenciales de identidad de Okta y los códigos de autenticación multifactor (MFA) de los usuarios de las organizaciones objetivo. Esos usuarios recibieron mensajes SMS que contenían enlaces a sitios de phishing que imitaban la página de autenticación de Okta de su organización.
Los investigadores no pudieron determinar cómo los atacantes prepararon su lista u objetivos, ni cómo obtuvieron los números de teléfono necesarios, sin embargo, según los datos comprometidos que Group-IB pudo analizar, parece que puede haber Ha habido otros ataques a operadores móviles y empresas de telecomunicaciones para recolectar datos antes de que esta campaña comenzara.
Group-IB dijo que 0ktapus usó 169 dominios de phishing únicos, incorporando palabras clave como “SSO”, “VPN”, “Okta”, “MFA” y “ayuda”. Estos sitios habrían aparecido casi idénticos a las páginas de verificación legítimas de Okta. Todos estos sitios se crearon utilizando un novedoso kit de phishing, que contenía un código que les permitía configurar un bot de Telegram y un canal que los atacantes usaban para dejar caer sus datos robados.
En total, 0ktapus robó un total de 9931 credenciales de usuario únicas, incluidos 3129 registros con direcciones de correo electrónico válidas y 5441 registros con códigos MFA. Dado que dos tercios de los registros no contenían un correo electrónico corporativo válido, solo un nombre de usuario y un código MFA, el equipo de investigación solo pudo determinar la región donde se ubicaban los usuarios, lo que significa que no se pudieron identificar todas las organizaciones objetivo.
“0ktapus muestra cuán vulnerables son las organizaciones modernas a algunos ataques básicos de ingeniería social y cuán profundos pueden ser los efectos de tales incidentes para sus socios y clientes”
Rustam Mirkasymov, Grupo-IB Europa
Lo que se puede afirmar con confianza es que 114 de las 136 organizaciones de víctimas conocidas eran empresas con sede en los Estados Unidos. Ninguno tenía su sede en el Reino Unido; sin embargo, aproximadamente 97 usuarios del Reino Unido vieron comprometidas sus credenciales por 0ktapus, en comparación con más de 5500 en los EE. UU. Otros usuarios comprometidos se extendieron por todo el mundo, con más de 40 en Canadá, Alemania, India y Nigeria.
La mayoría de las organizaciones víctimas eran, como Cloudflare y Twilio, proveedores de TI, empresas de software o empresas de servicios en la nube. También se encontraron números más pequeños de víctimas en el sector de las telecomunicaciones, servicios comerciales generales y servicios financieros, y números aún más pequeños en educación, comercio minorista y logística, servicios legales y servicios públicos. Group-IB dijo que había notificado a todas las víctimas que pudo identificar.
En cuanto a la identificación de los actores de amenazas detrás de 0ktapus, Group-IB también pudo recuperar algunos de los detalles de uno de los administradores de sus canales de Telegram, y desde allí identificó sus cuentas de GitHub y Twitter. Este individuo se conoce con el identificador X y se cree que vive en Carolina del Norte en los EE. UU., aunque es posible que esta no sea su verdadera ubicación.
Rustam Mirkasymov, jefe de investigación de amenazas cibernéticas en Group-IB Europe, dijo que los métodos de 0ktapus no tenían nada de especial, pero el esfuerzo que puso en la planificación y el pivote entre múltiples víctimas hizo que la campaña fuera notable.
“0ktapus muestra cuán vulnerables son las organizaciones modernas a algunos ataques básicos de ingeniería social y cuán trascendentales pueden ser los efectos de tales incidentes para sus socios y clientes. Al hacer públicos nuestros hallazgos, esperamos que más empresas puedan tomar medidas preventivas para proteger sus activos digitales”, dijo.
Más información sobre los hallazgos de Group-IB, incluido un desglose de indicadores de compromiso (IoC), está disponible para leer aquí.
Este es el segundo incidente importante que involucra a Okta de alguna manera en los últimos meses, luego de que la empresa se vio envuelta en un ataque a la cadena de suministro cuando la pandilla de extorsión cibernética Lapsus $ comprometió a un tercero, Sitel, en enero de 2022. Hay ninguna indicación de que los dos incidentes tengan alguna conexión.
Okta no había respondido a una solicitud de comentarios al momento de la publicación.
