Los piratas informáticos que violaron Twilio a principios de este mes también comprometieron a más de 130 organizaciones durante su ola de piratería que obtuvo las credenciales de cerca de 10,000 empleados.
La reciente intrusión en la red de Twilio permitió a los piratas informáticos acceder a los datos de 125 clientes y empresas de Twilio, incluida la aplicación de mensajería encriptada de extremo a extremo Signal, después de engañar a los empleados para que entregaran sus credenciales de inicio de sesión corporativas y códigos de dos factores de mensajes SMS de phishing que pretendían provienen del departamento de TI de Twilio. En ese momento, Tecno se enteró de páginas de phishing que se hacían pasar por otras empresas, incluida una empresa de Internet de EE. UU., una empresa de subcontratación de TI y un proveedor de servicios al cliente, pero la escala de la campaña seguía sin estar clara.
Ahora, la compañía de seguridad cibernética Group-IB dice que el ataque a Twilio fue parte de una campaña más amplia del grupo de piratería al que llama «0ktapus», una referencia a cómo los piratas informáticos se dirigen predominantemente a las organizaciones que usan Okta como proveedor de inicio de sesión único.
Group-IB, que inició una investigación después de que uno de sus clientes fuera atacado por un ataque de phishing vinculado, dijo en hallazgos compartidos con Tecno que la gran mayoría de las empresas objetivo tienen su sede en los EE. UU. o tienen personal en los EE. UU. Los atacantes han robado al menos 9.931 credenciales de usuario desde marzo, según los hallazgos de Group-IB, y más de la mitad contenían códigos de autenticación multifactor capturados que se utilizan para acceder a la red de una empresa.
“En muchas ocasiones, hay imágenes, fuentes o scripts que son lo suficientemente únicos como para que puedan usarse para identificar sitios web de phishing diseñados con el mismo kit de phishing”, dijo a Tecno Roberto Martínez, analista senior de inteligencia de amenazas en Group-IB. “En este caso, encontramos una imagen que los sitios que aprovechan la autenticación de Okta utilizan legítimamente, siendo utilizada por el kit de phishing”.
“Una vez que localizamos una copia del kit de phishing, comenzamos a investigar más a fondo para comprender mejor la amenaza. El análisis del kit de phishing reveló que estaba mal configurado y la forma en que se había desarrollado permitía extraer las credenciales robadas para su posterior análisis”, dijo Martínez.
Si bien aún no se sabe cómo los piratas informáticos obtuvieron los números de teléfono y los nombres de los empleados a quienes luego se les enviaron mensajes de phishing por SMS, Group-IB señala que el atacante primero apuntó a operadores móviles y compañías de telecomunicaciones y “podría haber recopilado los números de esos ataques iniciales. ”
Group-IB no reveló los nombres de ninguna de las víctimas corporativas, pero dijo que la lista incluye «organizaciones conocidas», la mayoría de las cuales brinda TI, desarrollo de software y servicios en la nube. Un desglose de las víctimas compartido con Tecno muestra que los actores de amenazas también se dirigieron a 13 organizaciones en la industria financiera, siete gigantes minoristas y dos organizaciones de videojuegos.
Durante su investigación, Group-IB descubrió que el código en el kit de phishing del pirata informático reveló detalles de configuración del bot de Telegram que los atacantes usaron para dejar caer datos comprometidos. (Cloudflare reveló por primera vez el uso de Telegram por parte de los piratas informáticos). Group-IB identificó a uno de los administradores del grupo de Telegram que utiliza el identificador «X», cuyos identificadores de GitHub y Twitter sugieren que pueden residir en Carolina del Norte.
Group-IB dice que aún no está claro si los ataques se planificaron de principio a fin o si se tomaron medidas oportunistas en cada etapa. “De todos modos, la campaña 0ktapus ha sido increíblemente exitosa, y es posible que no se conozca su escala completa durante algún tiempo”, agregó la compañía.
La startup Group-IB fundada en Moscú fue cofundada por Ilya Sachkov, quien fue el director ejecutivo de la compañía hasta septiembre de 2021 cuando Sachkov fue detenido en Rusia acusado de traición después de supuestamente transferir información clasificada a un gobierno extranjero no identificado, afirma Sachkov niega. Group-IB, que desde entonces ha trasladado su sede a Singapur, mantiene la inocencia del cofundador.