Los piratas informáticos que violaron con éxito Twilio y apuntaron a Cloudflare han estado persiguiendo a docenas de empresas en las industrias de software, finanzas y telecomunicaciones, según investigadores de seguridad.
Los piratas informáticos utilizaron un kit de phishing denominado «Oktapus» para atacar a más de 130 organizaciones, la mayoría de las cuales tienen su sede en los EE. UU., según la firma de ciberseguridad Group-IB. La empresa publicó(Se abre en una nueva ventana) un informe el jueves que cubre las herramientas utilizadas y revela la posible identidad de uno de los piratas informáticos.
Un kit de phishing es un conjunto de herramientas de software que pueden crear mensajes de phishing y sitios web diseñados para engañar a los usuarios desprevenidos para que escriban sus credenciales de inicio de sesión. En este caso, los piratas informáticos de Oktapus han estado enviando mensajes SMS a los empleados de varias empresas. Estos mensajes conducen a páginas de inicio de sesión de Okta aparentemente legítimas, pero en última instancia falsas, capaces de registrar contraseñas.
(Crédito: Grupo-IB)
“Desde el punto de vista de la víctima, el sitio de phishing parece bastante convincente ya que es muy similar a la página de autenticación que están acostumbrados a ver. A las víctimas se les solicita su nombre de usuario y contraseña, y una vez proporcionados, se muestra una segunda página solicitando su código 2FA (autenticación de dos factores)”, escribió Group-IB en el informe. Luego, los piratas informáticos utilizarán rápidamente las credenciales de inicio de sesión, incluido el código 2FA, para ingresar a la cuenta corporativa de un empleado.
(Crédito: Grupo-IB)
Group-IB rastreó las actividades del grupo Oktapus buscando en Internet una imagen que los piratas informáticos agregaron a sus páginas de phishing. Esto llevó a la empresa de seguridad a descubrir las diversas empresas a las que se ha dirigido el kit de phishing de Oktapus. Group-IB también logró descargar una copia del kit de phishing de los piratas informáticos, que el grupo Oktapus compartió en un servicio de alojamiento de archivos.
La investigación de la empresa de seguridad muestra que Oktapus robó al menos 9931 credenciales de usuario desde marzo, incluidos 5441 códigos de autenticación de múltiples factores. Entre esas credenciales de usuario robadas, 3120 estaban vinculadas a dominios de correo electrónico únicos pertenecientes a 136 organizaciones.
(Crédito: Grupo-IB)
“La mayoría de las empresas en la lista de víctimas brindan TI, desarrollo de software y servicios en la nube”, dijo Group-IB. El objetivo probable de los piratas informáticos ha sido infiltrarse en las empresas para robar aún más información, incluidos datos privados y confidenciales.
“Según los datos comprometidos que analizamos, los actores comenzaron sus ataques dirigidos a operadores móviles y empresas de telecomunicaciones”, dijo Group-IB. Esta podría ser la forma en que los piratas informáticos han obtenido los números de teléfono de los empleados de las diversas empresas en las que han estado tratando de infiltrarse. Algunos de los dominios de phishing utilizados mencionan AT&T, T-Mobile y MetroPCS, junto con Best Buy, Coinbase y Binance.
Recomendado por Nuestros Editores
Sujeto X
Group-IB luego examinó un canal en la aplicación de mensajería Telegram que el kit de phishing usa para recopilar datos de usuarios comprometidos. Esto llevó a la empresa de seguridad a descubrir a un usuario llamado X, que administraba el canal de Telegram.
“Usando Group-IB Threat Intelligence para monitorear los canales de Telegram utilizados por los ciberdelincuentes, pudimos identificar algunos canales donde el Sujeto X estaba activo en algún momento. Una de las publicaciones realizadas por el Sujeto X en 2019 nos llevó a su cuenta de Twitter. La misma herramienta también nos dio el nombre y apellido que estaba usando el administrador del canal, antes de adoptar el nombre ‘X’”, dijo la firma de seguridad.
(Crédito: Grupo-IB)
Group-IB dice que también descubrió una cuenta de GitHub que pertenece al presunto pirata informático, que contiene un perfil y sugiere que el usuario tiene su sede en Carolina del Norte. Group-IB no respondió de inmediato a una solicitud de comentarios. Pero, presumiblemente, la empresa de seguridad ha entregado los detalles a la policía.
¿Te gusta lo que estás leyendo?
Matricularse en Vigilancia de la seguridad boletín de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.
Este boletín puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un boletín informativo indica su consentimiento a nuestros Términos de uso y Política de privacidad. Puede darse de baja de los boletines en cualquier momento.