\n<\/p>\n
Los piratas inform\u00e1ticos que violaron Twilio a principios de este mes tambi\u00e9n comprometieron a m\u00e1s de 130 organizaciones durante su ola de pirater\u00eda que obtuvo las credenciales de cerca de 10,000 empleados.<\/p>\n
La reciente intrusi\u00f3n en la red de Twilio permiti\u00f3 a los piratas inform\u00e1ticos acceder a los datos de 125 clientes y empresas de Twilio, incluida la aplicaci\u00f3n de mensajer\u00eda encriptada de extremo a extremo Signal, despu\u00e9s de enga\u00f1ar a los empleados para que entregaran sus credenciales de inicio de sesi\u00f3n corporativas y c\u00f3digos de dos factores de mensajes SMS de phishing que pretend\u00edan provienen del departamento de TI de Twilio. En ese momento, TechCrunch se enter\u00f3 de p\u00e1ginas de phishing que se hac\u00edan pasar por otras empresas, incluida una empresa de Internet de EE. UU., una empresa de subcontrataci\u00f3n de TI y un proveedor de servicios al cliente, pero la escala de la campa\u00f1a segu\u00eda sin estar clara.<\/p>\n
Ahora, la compa\u00f1\u00eda de seguridad cibern\u00e9tica Group-IB dice que el ataque a Twilio fue parte de una campa\u00f1a m\u00e1s amplia del grupo de pirater\u00eda al que llama \u00ab0ktapus\u00bb, una referencia a c\u00f3mo los piratas inform\u00e1ticos se dirigen predominantemente a las organizaciones que usan Okta como proveedor de inicio de sesi\u00f3n \u00fanico.<\/p>\n
Group-IB, que inici\u00f3 una investigaci\u00f3n despu\u00e9s de que uno de sus clientes fuera atacado por un ataque de phishing vinculado, dijo en hallazgos compartidos con TechCrunch que la gran mayor\u00eda de las empresas objetivo tienen su sede en los EE. UU. o tienen personal en los EE. UU. Los atacantes han robado al menos 9931 credenciales de usuario desde marzo, seg\u00fan los hallazgos de Group-IB, y m\u00e1s de la mitad contienen c\u00f3digos de autenticaci\u00f3n multifactor capturados que se utilizan para acceder a la red de una empresa.<\/p>\n
\u201cEn muchas ocasiones, hay im\u00e1genes, fuentes o scripts que son lo suficientemente \u00fanicos como para que puedan usarse para identificar sitios web de phishing dise\u00f1ados con el mismo kit de phishing\u201d, dijo a TechCrunch Roberto Mart\u00ednez, analista senior de inteligencia de amenazas en Group-IB. \u00abEn este caso, encontramos una imagen que los sitios que aprovechan la autenticaci\u00f3n de Okta utilizan leg\u00edtimamente, siendo utilizada por el kit de phishing\u00bb.<\/p>\n
\u201cUna vez que localizamos una copia del kit de phishing, comenzamos a investigar m\u00e1s a fondo para comprender mejor la amenaza. El an\u00e1lisis del kit de phishing revel\u00f3 que estaba mal configurado y la forma en que se hab\u00eda desarrollado proporcion\u00f3 la capacidad de extraer las credenciales robadas para su posterior an\u00e1lisis\u201d, dijo Mart\u00ednez.<\/p>\n
Si bien a\u00fan no se sabe c\u00f3mo los piratas inform\u00e1ticos obtuvieron los n\u00fameros de tel\u00e9fono y los nombres de los empleados a quienes luego se les enviaron mensajes de phishing por SMS, Group-IB se\u00f1ala que el atacante primero apunt\u00f3 a operadores m\u00f3viles y compa\u00f1\u00edas de telecomunicaciones y \u201cpodr\u00eda haber recopilado los n\u00fameros de esos ataques iniciales. \u201d<\/p>\n
Group-IB no revel\u00f3 los nombres de ninguna de las v\u00edctimas corporativas, pero dijo que la lista incluye \u00aborganizaciones conocidas\u00bb, la mayor\u00eda de las cuales brinda TI, desarrollo de software y servicios en la nube. Un desglose de las v\u00edctimas compartido con TechCrunch muestra que los actores de amenazas tambi\u00e9n se dirigieron a 13 organizaciones en la industria financiera, siete gigantes minoristas y dos organizaciones de videojuegos.<\/p>\n
Durante su investigaci\u00f3n, Group-IB descubri\u00f3 que el c\u00f3digo en el kit de phishing del pirata inform\u00e1tico revel\u00f3 detalles de configuraci\u00f3n del bot de Telegram que los atacantes usaron para dejar caer datos comprometidos. (Cloudflare revel\u00f3 por primera vez el uso de Telegram por parte de los piratas inform\u00e1ticos). Group-IB identific\u00f3 a uno de los administradores del grupo de Telegram que utiliza el identificador \u00abX\u00bb, cuyos identificadores de GitHub y Twitter sugieren que pueden residir en Carolina del Norte.<\/p>\n
Group-IB dice que a\u00fan no est\u00e1 claro si los ataques se planificaron de principio a fin o si se tomaron medidas oportunistas en cada etapa. \u201cDe todos modos, la campa\u00f1a 0ktapus ha sido incre\u00edblemente exitosa, y es posible que no se conozca su escala completa durante alg\u00fan tiempo\u201d, agreg\u00f3 la compa\u00f1\u00eda.<\/p>\n
La startup Group-IB fundada en Mosc\u00fa fue cofundada por Ilya Sachkov, quien fue el director ejecutivo de la compa\u00f1\u00eda hasta septiembre de 2021 cuando Sachkov fue detenido en Rusia acusado de traici\u00f3n despu\u00e9s de supuestamente transferir informaci\u00f3n clasificada a un gobierno extranjero no identificado, afirma Sachkov niega. Group-IB, que desde entonces ha trasladado su sede a Singapur, mantiene la inocencia del cofundador.<\/p>\n<\/p><\/div>\n