Il gruppo di minacce 0ktapus prende di mira 130 aziende e compromette 10.000 account

Redazione RHC : 2 Novembre 2022 07:23

Gli attacchi mirati ai dipendenti di Twilio e Cloudflare sono legati a una massiccia campagna di phishing che ha portato alla compromissione di 9.931 account in oltre 130 organizzazioni. Le campagne sono legate all’abuso mirato delle identità digitali della società di gestione degli accessi Okta, che ha fatto guadagnare agli attori delle minacce il soprannome di 0ktapus, da parte dei ricercatori.

“L’obiettivo principale degli attori delle minacce è ottenere credenziali di identità Okta e codici di autenticazione a più fattori (MFA) dagli utenti delle organizzazioni prese di mira”

hanno scritto i ricercatori del Group-IB in un recente rapporto.

CVE Enrichment

Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub.

Cosa trovi nel servizio:
✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor.
✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV).
✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia.
✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati.

Supporta Red Hot Cyber attraverso:

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

“Questi utenti hanno ricevuto messaggi di testo contenenti collegamenti a siti di phishing che imitavano la pagina di autenticazione Okta della loro organizzazione”.

Sono state colpite 114 aziende con sede negli Stati Uniti, con ulteriori vittime sparse in altri 68 paesi.

Roberto Martinez, analista senior di intelligence sulle minacce presso Group-IB, ha affermato che la portata degli attacchi è ancora sconosciuta. “La campagna 0ktapus ha avuto un successo incredibile e l’intera portata potrebbe non essere nota ancora”, ha affermato.

Si ritiene che gli aggressori di 0ktapus abbiano iniziato la loro campagna prendendo di mira le società di telecomunicazioni nella speranza di ottenere l’accesso ai numeri di telefono dei potenziali bersagli.

Sebbene non siano sicuri esattamente come gli attori delle minacce abbiano ottenuto un elenco di numeri di telefono utilizzati negli attacchi relativi all’AMF, una teoria che i ricercatori ipotizzano è che gli aggressori di 0ktapus abbiano iniziato la loro campagna contro le società di telecomunicazioni.

“secondo i dati compromessi analizzati da Group-IB, gli attori delle minacce hanno iniziato i loro attacchi prendendo di mira gli operatori mobili e le società di telecomunicazioni e hanno potuto raccogliere i numeri da quegli attacchi iniziali”

hanno riportato i ricercatori.

Successivamente, gli aggressori hanno inviato collegamenti di phishing a obiettivi tramite messaggi di testo. Quei collegamenti portavano a pagine Web che imitavano la pagina di autenticazione Okta utilizzata dal datore di lavoro del bersaglio. Alle vittime è stato quindi chiesto di inviare le credenziali di identità Okta oltre ai codici di autenticazione a più fattori (MFA) utilizzati dai dipendenti per proteggere i propri accessi.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Il gruppo di minacce 0ktapus prende di mira 130 aziende e compromette 10.000 account

Articoli in evidenza