Twilio, que a principios de este mes se convirtió en un sofisticado ataque de phishing, reveló la semana pasada que los actores de amenazas también lograron acceder a las cuentas de 93 usuarios individuales de su servicio Authy de autenticación de dos factores (2FA).
La empresa de herramientas de comunicación dijo el acceso no autorizado hizo posible que el adversario registrara dispositivos adicionales en esas cuentas. Desde entonces, identificó y eliminó los dispositivos agregados ilegítimamente de las cuentas afectadas.
Authy, adquirida por Twilio en febrero de 2015, permite salvaguardar cuentas en línea con una segunda capa de seguridad para evitar ataques de apropiación de cuentas. Se estima que tiene casi 75 millones de usuarios.
Twilio señaló además que su investigación al 24 de agosto de 2022 arrojó 163 clientes afectados, frente a los 125 que informó el 10 de agosto, cuyas cuentas, dijo, fueron pirateadas durante un período de tiempo limitado.
Además de Twilio, se cree que la campaña en expansión, denominada 0ktapus por Group-IB, afectó a 136 empresas, incluidas Klaviyo, MailChimp, y un ataque fallido contra Cloudflare que fue frustrado por el uso de tokens de seguridad de hardware por parte de la empresa.
Las empresas objetivo abarcan los sectores de tecnología, telecomunicaciones y criptomonedas, con la campaña empleando un kit de phishing para capturar nombres de usuario, contraseñas y contraseñas de un solo uso (OTP) a través de páginas de inicio no autorizadas que imitaban las páginas de autenticación de Okta de las respectivas organizaciones.
Luego, los datos se canalizaron en secreto a una cuenta de Telegram controlada por los ciberdelincuentes en tiempo real, lo que permitió al actor de amenazas pivotar y apuntar a otros servicios en lo que se denomina un ataque a la cadena de suministro dirigido a Signal y Okta, ampliando efectivamente el alcance y la escala. de las intrusiones.
En total, se cree que la expedición de phishing le proporcionó al actor de amenazas al menos 9931 credenciales de usuario y 5441 códigos de autenticación de múltiples factores.
Okta, por su parte, confirmado el robo de credenciales tuvo un efecto dominó, lo que resultó en el acceso no autorizado a una pequeña cantidad de números de teléfonos móviles y mensajes SMS asociados que contenían OTP a través de la consola administrativa de Twilio.
Al afirmar que las OTP tienen un período de validez de cinco minutos, Okta dijo que el incidente involucró al atacante buscando directamente 38 números de teléfono únicos en la consola, casi todos pertenecientes a una sola entidad, con el objetivo de expandir su acceso.
«El actor de amenazas usó credenciales (nombres de usuario y contraseñas) previamente robadas en campañas de phishing para desencadenar desafíos de MFA basados en SMS, y usó el acceso a los sistemas Twilio para buscar contraseñas de un solo uso enviadas en esos desafíos», teorizó Okta.
Okta, que está rastreando al grupo de piratería bajo el nombre de Scatter Swine, reveló además que su análisis de los registros de incidentes «descubrió un evento en el que el actor de amenazas probó con éxito esta técnica contra una sola cuenta no relacionada con el objetivo principal».
Al igual que en el caso de Cloudflare, el proveedor de gestión de identidad y acceso (IAM) reiteró que está al tanto de varios casos en los que el atacante envió una ráfaga de mensajes SMS dirigidos a los empleados y sus familiares.
«Es probable que el actor de amenazas obtenga números de teléfonos móviles de los servicios de agregación de datos disponibles comercialmente que vinculan los números de teléfono con los empleados de organizaciones específicas», señaló Okta.
Otra cadena de suministro víctima de la campaña es el servicio de entrega de alimentos DoorDash, que dijo detectó «actividad inusual y sospechosa de la red informática de un proveedor externo», lo que llevó a la empresa a desactivar el acceso del proveedor a su sistema para contener la infracción.
Según la empresa, el allanamiento permitió al atacante acceder a nombres, direcciones de correo electrónico, direcciones de entrega y números de teléfono asociados con un «pequeño porcentaje de personas». En casos seleccionados, también se accedió a la información básica del pedido y a la información de la tarjeta de pago parcial.
DoorDash, que ha notificado directamente a los usuarios afectados, señaló que la parte no autorizada también obtuvo los nombres y números de teléfono o direcciones de correo electrónico de los repartidores (también conocidos como Dashers), pero enfatizó que no se accedió a las contraseñas, números de cuentas bancarias y números de Seguro Social.
La firma con sede en San Francisco no divulgó detalles adicionales sobre quién es el proveedor externo, pero le dijo a TechCrunch que el el incumplimiento está vinculado a la campaña de phishing 0ktapus.