Os criminosos por trás das tentativas de ataque cibernético a Twilio e Cloudflare no início deste mês lançaram uma rede muito mais ampla em sua expedição de phishing, visando até 135 organizações – principalmente provedores de TI, desenvolvimento de software e serviços em nuvem com sede nos EUA.
A gangue foi atrás dos funcionários dos clientes da Okta, enviando mensagens de texto às vítimas com links maliciosos para sites que falsificavam a página de autenticação de sua empresa para coletar suas credenciais de login de trabalho e códigos de autenticação multifator. Por isso, os analistas do Grupo-IB batizaram a campanha de Oktapus.
Em pesquisa publicada na quinta-feira, a equipe de inteligência de ameaças revelou que a viagem de phishing da Oktapus, que começou em março, separou 9.931 credenciais de usuário e 5.441 códigos de autenticação multifator.
“O objetivo inicial dos invasores era claro: obter credenciais de identidade Okta e códigos de autenticação de dois fatores (2FA) dos usuários das organizações visadas”, escreveram os pesquisadores do Group-IB Roberto Martinez e Rustam Mirkasymov .
“Com essas informações em mãos, os invasores podem obter acesso não autorizado a quaisquer recursos corporativos aos quais as vítimas tenham acesso.”
Os criminosos usaram as credenciais roubadas e códigos 2FA para realizar vários ataques à cadeia de suprimentos. Eles invadiram a empresa de marketing Klaviyo e o serviço de e-mail Mailchimp, que permitiu que os criminosos coletassem os endereços de e-mail dos clientes da DigitalOcean para phishing dessas pessoas.
E, é claro, os invasores tentaram e falharam em acertar Cloudflare, e conseguiu entrar no Twilio, o que permitiu que eles segmentassem os usuários do cliente Twilio Signal e obtivessem os números de telefone e códigos de registro de 1.900 usuários do serviço de mensagens criptografadas.
Pesquisa do Group-IB inclui uma captura de tela de alguns dos sites de phishing que imitavam as páginas de autenticação do Okta e, com base nisso, as empresas-alvo incluem AT&T, Verizon, T-Mobile e o serviço de e-mail Mailgun.
No total, os pesquisadores descobriram 169 domínios únicos envolvidos no Oktapus, e eles notaram que o kit de phishing usado pelos invasores incluía uma imagem legítima usada por sites que exigem autenticação Okta.
Os sites de phishing, que pareciam muito semelhante às páginas de autenticação reais das organizações, pediu aos funcionários que digitassem seu nome de usuário e senha e, em seguida, solicitou um código 2FA. Essas credenciais roubadas foram enviadas para um canal Telegram controlado por invasores, e os criminosos as usaram para acessar dados corporativos, e-mails e documentos internos.
Embora a maioria das empresas visadas possa ser amplamente categorizadas como empresas de tecnologia – isso inclui 53 fornecedores de software, 22 empresas de telecomunicações e 21 provedores de serviços de negócios – os invasores também atingem organizações em finanças (13), educação (9), varejo (7), logística (4), videogames (2 ), serviços jurídicos (2) e fornecimento de energia (2).
“Ver empresas financeiras na lista comprometida nos dá a ideia de que os invasores também estavam tentando roubar dinheiro”, observaram os pesquisadores. “Além disso, algumas das empresas visadas fornecem acesso a criptoativos e mercados, enquanto outras desenvolvem ferramentas de investimento.”
A maior parte das organizações visadas está sediada nos EUA (114), e aquelas em outros países têm funcionários baseados nos EUA que foram alvos, de acordo com o Group-IB.
No entanto, eles alertaram, provavelmente não saberemos o escopo completo do ataque por algum tempo.
