Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 17 Settembre 2023 16:40
Il mese scorso Retool, un’azienda specializzata nello sviluppo di applicazioni aziendali per i clienti, è stata vittima di un attacco informatico. 27 clienti cloud dell’azienda sono rimasti vittime dell’hacking.
La piattaforma di sviluppo di Retool viene utilizzata per creare software aziendale da aziende che vanno dalle startup alle imprese Fortune 500, tra cui Amazon, Mercedes-Benz, DoorDash, NBC, Stripe e Lyft.
L’hacker ha iniziato il suo attacco inviando SMS a diversi dipendenti di Retool fingendosi membri del team IT, presumibilmente risolvendo problemi con il libro paga e l’assicurazione sanitaria. La maggior parte dei destinatari ha ignorato il messaggio di phishing, ad eccezione di un dipendente.
 CVE Enrichment Mentre la finestra tra divulgazione pubblica di una vulnerabilità e sfruttamento si riduce sempre di più, Red Hot Cyber ha lanciato un servizio pensato per supportare professionisti IT, analisti della sicurezza, aziende e pentester: un sistema di monitoraggio gratuito che mostra le vulnerabilità critiche pubblicate negli ultimi 3 giorni dal database NVD degli Stati Uniti e l'accesso ai loro exploit su GitHub.
Cosa trovi nel servizio: ✅ Visualizzazione immediata delle CVE con filtri per gravità e vendor. ✅ Pagine dedicate per ogni CVE con arricchimento dati (NIST, EPSS, percentile di rischio, stato di sfruttamento CISA KEV). ✅ Link ad articoli di approfondimento ed exploit correlati su GitHub, per ottenere un quadro completo della minaccia. ✅ Funzione di ricerca: inserisci un codice CVE e accedi subito a insight completi e contestualizzati.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Il dipendente ha quindi cliccato sul link che reindirizzava verso a un portale di accesso falso con un modulo di autenticazione a più fattori (MFA) al quale ha fatto l’accesso.
Una volta acquisite le credenziali di accesso, l’aggressore ha effettuato un deepfake emulando la voce di un dipendente e ha chiamato il membro del team IT preso di mira, inducendolo a fornire un codice MFA aggiuntivo, che ha consentito l’aggiunta di un dispositivo controllato dall’aggressore all’account Okta del dipendente preso di mira.
Questo incidente indica che l’aggressore potrebbe aver già parzialmente ottenuto l’accesso alle risorse Retool prima di questa chiamata. Dopo aver ricevuto il codice di autenticazione a due fattori, l’aggressore ha aggiunto il suo dispositivo all’account del dipendente e ha ottenuto l’accesso al suo account GSuite.
Ciò che è particolarmente pericoloso è che l’app Google Authenticator ha recentemente aggiunto una funzionalità di sincronizzazione cloud. Ciò significa che ora i codici MFA possono essere visualizzati su più dispositivi associati a un account.
Retool ha sottolineato la gravità del problema: “Se il tuo account Google è compromesso, anche i tuoi codici MFA sono a rischio.” Secondo l’azienda è stato l’accesso all’account Google a consentire all’aggressore di penetrare nei sistemi interni dell’azienda.
Retool aveva già negato l’accesso all’hacker, ma ha deciso di divulgare le informazioni sull’accaduto per avvisare altre aziende.
Hanno inoltre invitato Google a modificare la propria app di autenticazione in modo che le aziende possano facilmente disattivare la funzionalità di sincronizzazione cloud per i propri dipendenti. Google non ha ancora commentato questa situazione.
RedazioneL’azienda italiana di difesa Leonardo ha presentato il suo nuovo sistema Michelangelo Dome. Secondo l’azienda, è progettato per contrastare missili ipersonici e attacchi di massa con droni. Duran...
Secondo l’esperto di informatica forense Elom Daniel, i messaggi di WhatsApp possono contenere dati di geolocalizzazione nascosti anche quando l’utente non ha intenzionalmente condiviso la propria...
L’ecosistema npm è nuovamente al centro di un vasto attacco alla supply chain attribuito alla campagna Shai-Hulud. Questa ondata ha portato alla diffusione di centinaia di pacchetti apparentemente ...
Il team di GrapheneOS annuncia la chiusura completa della sua infrastruttura in Francia. Gli sviluppatori stanno accelerando il passaggio dal provider di hosting OVH e accusano dalle autorità frances...
Il Roskomnadzor della Federazione Russa ha annunciato che continua a imporre restrizioni sistematiche all’app di messaggistica WhatsApp a causa di violazioni della legge russa. Secondo l’agenzia, ...
