Twilio, que a principios de este mes se convirti\u00f3 en un sofisticado ataque de phishing, revel\u00f3 la semana pasada que los actores de amenazas tambi\u00e9n lograron acceder a las cuentas de 93 usuarios individuales de su servicio Authy de autenticaci\u00f3n de dos factores (2FA).<\/p>\n
La empresa de herramientas de comunicaci\u00f3n dijo<\/a> el acceso no autorizado hizo posible que el adversario registrara dispositivos adicionales en esas cuentas. Desde entonces, identific\u00f3 y elimin\u00f3 los dispositivos agregados ileg\u00edtimamente de las cuentas afectadas.<\/p>\n Authy, adquirida por Twilio en febrero de 2015, permite salvaguardar cuentas en l\u00ednea<\/a> con una segunda capa de seguridad para evitar ataques de apropiaci\u00f3n de cuentas. Se estima que tiene casi 75 millones de usuarios.<\/p>\n Twilio se\u00f1al\u00f3 adem\u00e1s que su investigaci\u00f3n al 24 de agosto de 2022 arroj\u00f3 163 clientes afectados, frente a los 125 que inform\u00f3 el 10 de agosto, cuyas cuentas, dijo, fueron pirateadas durante un per\u00edodo de tiempo limitado.<\/p>\n Adem\u00e1s de Twilio, se cree que la campa\u00f1a en expansi\u00f3n, denominada 0ktapus por Group-IB, afect\u00f3 a 136 empresas, incluidas Klaviyo, MailChimp, y un ataque fallido contra Cloudflare que fue frustrado por el uso de tokens de seguridad de hardware por parte de la empresa.<\/p>\n Las empresas objetivo abarcan los sectores de tecnolog\u00eda, telecomunicaciones y criptomonedas, con la campa\u00f1a empleando un kit de phishing para capturar nombres de usuario, contrase\u00f1as y contrase\u00f1as de un solo uso (OTP) a trav\u00e9s de p\u00e1ginas de inicio no autorizadas que imitaban las p\u00e1ginas de autenticaci\u00f3n de Okta de las respectivas organizaciones.<\/p>\n Luego, los datos se canalizaron en secreto a una cuenta de Telegram controlada por los ciberdelincuentes en tiempo real, lo que permiti\u00f3 al actor de amenazas pivotar y apuntar a otros servicios en lo que se denomina un ataque a la cadena de suministro dirigido a Signal y Okta, ampliando efectivamente el alcance y la escala. de las intrusiones.<\/p>\n En total, se cree que la expedici\u00f3n de phishing le proporcion\u00f3 al actor de amenazas al menos 9931 credenciales de usuario y 5441 c\u00f3digos de autenticaci\u00f3n de m\u00faltiples factores.<\/p>\n Okta, por su parte, confirmado<\/a> el robo de credenciales tuvo un efecto domin\u00f3, lo que result\u00f3 en el acceso no autorizado a una peque\u00f1a cantidad de n\u00fameros de tel\u00e9fonos m\u00f3viles y mensajes SMS asociados que conten\u00edan OTP a trav\u00e9s de la consola administrativa de Twilio.<\/p>\n Al afirmar que las OTP tienen un per\u00edodo de validez de cinco minutos, Okta dijo que el incidente involucr\u00f3 al atacante buscando directamente 38 n\u00fameros de tel\u00e9fono \u00fanicos en la consola, casi todos pertenecientes a una sola entidad, con el objetivo de expandir su acceso.<\/p>\n “El actor de amenazas us\u00f3 credenciales (nombres de usuario y contrase\u00f1as) previamente robadas en campa\u00f1as de phishing para desencadenar desaf\u00edos de MFA basados \u200b\u200ben SMS, y us\u00f3 el acceso a los sistemas Twilio para buscar contrase\u00f1as de un solo uso enviadas en esos desaf\u00edos”, teoriz\u00f3 Okta.<\/p>\n Okta, que est\u00e1 rastreando al grupo de pirater\u00eda bajo el nombre de Scatter Swine, revel\u00f3 adem\u00e1s que su an\u00e1lisis de los registros de incidentes “descubri\u00f3 un evento en el que el actor de amenazas prob\u00f3 con \u00e9xito esta t\u00e9cnica contra una sola cuenta no relacionada con el objetivo principal”.<\/p>\n Al igual que en el caso de Cloudflare, el proveedor de gesti\u00f3n de identidad y acceso (IAM) reiter\u00f3 que est\u00e1 al tanto de varios casos en los que el atacante envi\u00f3 una r\u00e1faga de mensajes SMS dirigidos a los empleados y sus familiares.<\/p>\n “Es probable que el actor de amenazas obtenga n\u00fameros de tel\u00e9fonos m\u00f3viles de los servicios de agregaci\u00f3n de datos disponibles comercialmente que vinculan los n\u00fameros de tel\u00e9fono con los empleados de organizaciones espec\u00edficas”, se\u00f1al\u00f3 Okta.<\/p>\n Otra cadena de suministro v\u00edctima de la campa\u00f1a es el servicio de entrega de alimentos DoorDash, que dijo<\/a> detect\u00f3 “actividad inusual y sospechosa de la red inform\u00e1tica de un proveedor externo”, lo que llev\u00f3 a la empresa a desactivar el acceso del proveedor a su sistema para contener la infracci\u00f3n.<\/p>\n Seg\u00fan la empresa, el allanamiento permiti\u00f3 al atacante acceder a nombres, direcciones de correo electr\u00f3nico, direcciones de entrega y n\u00fameros de tel\u00e9fono asociados con un “peque\u00f1o porcentaje de personas”. En casos seleccionados, tambi\u00e9n se accedi\u00f3 a la informaci\u00f3n b\u00e1sica del pedido y a la informaci\u00f3n de la tarjeta de pago parcial.<\/p>\n DoorDash, que ha notificado directamente a los usuarios afectados, se\u00f1al\u00f3 que la parte no autorizada tambi\u00e9n obtuvo los nombres y n\u00fameros de tel\u00e9fono o direcciones de correo electr\u00f3nico de los repartidores (tambi\u00e9n conocidos como Dashers), pero enfatiz\u00f3 que no se accedi\u00f3 a las contrase\u00f1as, n\u00fameros de cuentas bancarias y n\u00fameros de Seguro Social.<\/p>\n La firma con sede en San Francisco no divulg\u00f3 detalles adicionales sobre qui\u00e9n es el proveedor externo, pero le dijo a TechCrunch que el el incumplimiento est\u00e1 vinculado<\/a> a la campa\u00f1a de phishing 0ktapus.<\/p>\n <\/p>\n<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/08\/1660939153_598_La-nueva-vulnerabilidad-de-Amazon-Ring-podria-haber-expuesto-todas.png\")
<\/a><\/div>\n