Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Gli attacchi mirati ai dipendenti di Twilio e Cloudflare sono legati a una massiccia campagna di phishing che ha portato alla compromissione di 9.931 account in oltre 130 organizzazioni. Le campagne sono legate all’abuso mirato delle identità digitali della società di gestione degli accessi Okta, che ha fatto guadagnare agli attori delle minacce il soprannome di 0ktapus, da parte dei ricercatori.
“L’obiettivo principale degli attori delle minacce è ottenere credenziali di identità Okta e codici di autenticazione a più fattori (MFA) dagli utenti delle organizzazioni prese di mira”
hanno scritto i ricercatori del Group-IB in un recente rapporto.
“Questi utenti hanno ricevuto messaggi di testo contenenti collegamenti a siti di phishing che imitavano la pagina di autenticazione Okta della loro organizzazione”.
Sono state colpite 114 aziende con sede negli Stati Uniti, con ulteriori vittime sparse in altri 68 paesi.
Roberto Martinez, analista senior di intelligence sulle minacce presso Group-IB, ha affermato che la portata degli attacchi è ancora sconosciuta. “La campagna 0ktapus ha avuto un successo incredibile e l’intera portata potrebbe non essere nota ancora”, ha affermato.
Si ritiene che gli aggressori di 0ktapus abbiano iniziato la loro campagna prendendo di mira le società di telecomunicazioni nella speranza di ottenere l’accesso ai numeri di telefono dei potenziali bersagli.
Sebbene non siano sicuri esattamente come gli attori delle minacce abbiano ottenuto un elenco di numeri di telefono utilizzati negli attacchi relativi all’AMF, una teoria che i ricercatori ipotizzano è che gli aggressori di 0ktapus abbiano iniziato la loro campagna contro le società di telecomunicazioni.
“secondo i dati compromessi analizzati da Group-IB, gli attori delle minacce hanno iniziato i loro attacchi prendendo di mira gli operatori mobili e le società di telecomunicazioni e hanno potuto raccogliere i numeri da quegli attacchi iniziali”
hanno riportato i ricercatori.
Successivamente, gli aggressori hanno inviato collegamenti di phishing a obiettivi tramite messaggi di testo. Quei collegamenti portavano a pagine Web che imitavano la pagina di autenticazione Okta utilizzata dal datore di lavoro del bersaglio. Alle vittime è stato quindi chiesto di inviare le credenziali di identità Okta oltre ai codici di autenticazione a più fattori (MFA) utilizzati dai dipendenti per proteggere i propri accessi.
