El actor de amenazas detr\u00e1s de los ataques a Twilio y Cloudflare a principios de este mes se ha relacionado con una campa\u00f1a de phishing m\u00e1s amplia dirigida a 136 organizaciones que result\u00f3 en un compromiso acumulado de 9931 cuentas.<\/p>\n
La actividad ha sido condenada 0ktapus<\/strong> por Group-IB porque el objetivo inicial de los ataques era “obtener las credenciales de identidad de Okta y los c\u00f3digos de autenticaci\u00f3n de dos factores (2FA) de los usuarios de las organizaciones objetivo”.<\/p>\n Al calificar los ataques de bien dise\u00f1ados y ejecutados, la empresa con sede en Singapur dijo que el adversario se\u00f1al\u00f3 a los empleados de las empresas que son clientes del proveedor de servicios de identidad Okta.<\/p>\n El modus operandi consist\u00eda en enviar mensajes de texto a los objetivos que conten\u00edan enlaces a sitios de phishing que se hac\u00edan pasar por la p\u00e1gina de autenticaci\u00f3n de Okta de las respectivas entidades objetivo.<\/p>\n “Este caso es interesante porque, a pesar de usar m\u00e9todos de baja habilidad, pudo comprometer a una gran cantidad de organizaciones conocidas”, Group-IB dijo<\/a>. “Adem\u00e1s, una vez que los atacantes comprometieron una organizaci\u00f3n, r\u00e1pidamente pudieron girar y lanzar ataques posteriores a la cadena de suministro, lo que indica que el ataque se plane\u00f3 cuidadosamente con anticipaci\u00f3n”.<\/p>\n Se dice que se han creado al menos 169 dominios de phishing \u00fanicos para este prop\u00f3sito, con organizaciones de v\u00edctimas ubicadas principalmente en los EE. UU. (114), India (4), Canad\u00e1 (3), Francia (2), Suecia (2) y Australia (1), entre otros. Estos sitios web se unieron por el hecho de que hicieron uso de un kit de phishing previamente no documentado.<\/p>\n La mayor\u00eda de las organizaciones afectadas son empresas de software, seguidas de las que pertenecen a los sectores de telecomunicaciones, servicios empresariales, finanzas, educaci\u00f3n, comercio minorista y log\u00edstica.<\/p>\n Lo notable de los ataques es el uso de un canal de Telegram controlado por un actor para eliminar la informaci\u00f3n comprometida, que inclu\u00eda credenciales de usuario, direcciones de correo electr\u00f3nico y c\u00f3digos de autenticaci\u00f3n multifactor (MFA).<\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\n![\"Okta,](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1661449933_327_Los-piratas-informaticos-de-Okta-detras-de-Twilio-y-Cloudflare.jpg\" "\\"Okta,")
<\/div>\n
![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1660939153_598_La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\n