Los piratas inform\u00e1ticos que violaron con \u00e9xito Twilio y apuntaron a Cloudflare han estado persiguiendo a docenas de empresas en las industrias de software, finanzas y telecomunicaciones, seg\u00fan investigadores de seguridad. <\/p>\n
Los piratas inform\u00e1ticos utilizaron un kit de phishing denominado \u00abOktapus\u00bb para atacar a m\u00e1s de 130 organizaciones, la mayor\u00eda de las cuales tienen su sede en los EE. UU., seg\u00fan la firma de ciberseguridad Group-IB. La empresa public\u00f3(Se abre en una nueva ventana)<\/span> un informe el jueves que cubre las herramientas utilizadas y revela la posible identidad de uno de los piratas inform\u00e1ticos.<\/p>\n Un kit de phishing es un conjunto de herramientas de software que pueden crear mensajes de phishing y sitios web dise\u00f1ados para enga\u00f1ar a los usuarios desprevenidos para que escriban sus credenciales de inicio de sesi\u00f3n. En este caso, los piratas inform\u00e1ticos de Oktapus han estado enviando mensajes SMS a los empleados de varias empresas. Estos mensajes conducen a p\u00e1ginas de inicio de sesi\u00f3n de Okta aparentemente leg\u00edtimas, pero en \u00faltima instancia falsas, capaces de registrar contrase\u00f1as.<\/p>\n \n<\/p>\n (Cr\u00e9dito: Grupo-IB) \u201cDesde el punto de vista de la v\u00edctima, el sitio de phishing parece bastante convincente ya que es muy similar a la p\u00e1gina de autenticaci\u00f3n que est\u00e1n acostumbrados a ver. A las v\u00edctimas se les solicita su nombre de usuario y contrase\u00f1a, y una vez proporcionados, se muestra una segunda p\u00e1gina solicitando su c\u00f3digo 2FA (autenticaci\u00f3n de dos factores)\u201d, escribi\u00f3 Group-IB en el informe. Luego, los piratas inform\u00e1ticos utilizar\u00e1n r\u00e1pidamente las credenciales de inicio de sesi\u00f3n, incluido el c\u00f3digo 2FA, para ingresar a la cuenta corporativa de un empleado. <\/p>\n \n<\/p>\n (Cr\u00e9dito: Grupo-IB) Group-IB rastre\u00f3 las actividades del grupo Oktapus buscando en Internet una imagen que los piratas inform\u00e1ticos agregaron a sus p\u00e1ginas de phishing. Esto llev\u00f3 a la empresa de seguridad a descubrir las diversas empresas a las que se ha dirigido el kit de phishing de Oktapus. Group-IB tambi\u00e9n logr\u00f3 descargar una copia del kit de phishing de los piratas inform\u00e1ticos, que el grupo Oktapus comparti\u00f3 en un servicio de alojamiento de archivos. <\/p>\n La investigaci\u00f3n de la empresa de seguridad muestra que Oktapus rob\u00f3 al menos 9931 credenciales de usuario desde marzo, incluidos 5441 c\u00f3digos de autenticaci\u00f3n de m\u00faltiples factores. Entre esas credenciales de usuario robadas, 3120 estaban vinculadas a dominios de correo electr\u00f3nico \u00fanicos pertenecientes a 136 organizaciones. <\/p>\n \n<\/p>\n (Cr\u00e9dito: Grupo-IB) \u201cLa mayor\u00eda de las empresas en la lista de v\u00edctimas brindan TI, desarrollo de software y servicios en la nube\u201d, dijo Group-IB. El objetivo probable de los piratas inform\u00e1ticos ha sido infiltrarse en las empresas para robar a\u00fan m\u00e1s informaci\u00f3n, incluidos datos privados y confidenciales. <\/p>\n \u201cSeg\u00fan los datos comprometidos que analizamos, los actores comenzaron sus ataques dirigidos a operadores m\u00f3viles y empresas de telecomunicaciones\u201d, dijo Group-IB. Esta podr\u00eda ser la forma en que los piratas inform\u00e1ticos han obtenido los n\u00fameros de tel\u00e9fono de los empleados de las diversas empresas en las que han estado tratando de infiltrarse. Algunos de los dominios de phishing utilizados mencionan AT&T, T-Mobile y MetroPCS, junto con Best Buy, Coinbase y Binance. <\/p>\n Group-IB luego examin\u00f3 un canal en la aplicaci\u00f3n de mensajer\u00eda Telegram que el kit de phishing usa para recopilar datos de usuarios comprometidos. Esto llev\u00f3 a la empresa de seguridad a descubrir a un usuario llamado X, que administraba el canal de Telegram. <\/p>\n \u201cUsando Group-IB Threat Intelligence para monitorear los canales de Telegram utilizados por los ciberdelincuentes, pudimos identificar algunos canales donde el Sujeto X estaba activo en alg\u00fan momento. Una de las publicaciones realizadas por el Sujeto X en 2019 nos llev\u00f3 a su cuenta de Twitter. La misma herramienta tambi\u00e9n nos dio el nombre y apellido que estaba usando el administrador del canal, antes de adoptar el nombre ‘X’\u201d, dijo la firma de seguridad. <\/p>\n \n<\/p>\n (Cr\u00e9dito: Grupo-IB) Group-IB dice que tambi\u00e9n descubri\u00f3 una cuenta de GitHub que pertenece al presunto pirata inform\u00e1tico, que contiene un perfil y sugiere que el usuario tiene su sede en Carolina del Norte. Group-IB no respondi\u00f3 de inmediato a una solicitud de comentarios. Pero, presumiblemente, la empresa de seguridad ha entregado los detalles a la polic\u00eda.<\/p>\n Matricularse en Vigilancia de la seguridad<\/strong> bolet\u00edn de noticias para nuestras principales historias de privacidad y seguridad directamente en su bandeja de entrada.<\/p>\n Este bolet\u00edn puede contener publicidad, ofertas o enlaces de afiliados. Suscribirse a un bolet\u00edn informativo indica su consentimiento a nuestros T\u00e9rminos de uso y Pol\u00edtica de privacidad. Puede darse de baja de los boletines en cualquier momento.<\/p>\n<\/p><\/div>\n<\/div>\n<\/div>\n
\n<\/small>\n<\/p>\n![\"La](\"https:\/\/i.pcmag.com\/imagery\/articles\/026id69vjXhBJgHt5rPDZoP-3.png\")
<\/p>\n
\n<\/small>\n<\/p>\n![\"lista](\"https:\/\/i.pcmag.com\/imagery\/articles\/026id69vjXhBJgHt5rPDZoP-4.png\")
<\/p>\n
\n<\/small>\n<\/p>\nRecomendado por Nuestros Editores<\/h3>\n<\/div>\n<\/div>\n
Sujeto X<\/h2>\n
![\"P\u00e1gina](\"https:\/\/i.pcmag.com\/imagery\/articles\/026id69vjXhBJgHt5rPDZoP-5.png\")
<\/p>\n
\n<\/small>\n<\/p>\n\u00bfTe gusta lo que est\u00e1s leyendo?<\/h4>\n