El grupo de cibercrimen ShinyHunters se atribuye el mérito de al menos cinco ataques relacionados con una campaña de phishing de voz que fue revelada anteriormente por investigadores de seguridad de Okta.
Okta advirtió el jueves que una campaña de ingeniería social utilizando kits de phishing personalizados estaba dirigido a entornos de Google, Microsoft y Okta utilizando técnicas de phishing de voz.
Los kits de phishing eran capaces de interceptar las credenciales de los usuarios y persuadir a los usuarios específicos para que omitieran la autenticación multifactor.
El investigador de seguridad Alon Gal confirmó con Cybersecurity Dive que ShinyHunters se puso en contacto con él la semana pasada para afirmar que habían extorsionado al menos a tres empresas. en relación con la campaña de phishing de voz. El reclamo involucró a tres empresas específicas; sin embargo, Cybersecurity Dive todavía está trabajando para confirmar esos reclamos con las empresas.
El contacto inicial se realizó después de una historia publicada en Bleeping Computer sobre las divulgaciones de Okta. Ese informe decía Las cuentas de inicio de sesión único de Okta fueron el objetivo en los ataques.
El lunes, Gal dijo que el reclamo ahora incluye a cinco compañías.
Los investigadores de Sophos dijeron a Cybersecurity Dive que están rastreando un grupo de alrededor de 150 dominios creados en diciembre y utilizados en campañas de phishing de voz que conducen al robo de datos y demandas de extorsión.
«No podemos confirmar que se hayan utilizado todos, pero los actores de amenazas están creando dominios específicos para objetivos, con temas que reflejan servicios de inicio de sesión único y se hacen pasar por proveedores de autenticación como Okta», dijo a Cybersecurity Dive Rafe Pilling, director de inteligencia de amenazas de la Unidad Contra Amenazas de Sophos.
Los investigadores de Google Threat Intelligence Group confirmaron que están rastreando la actividad de las amenazas. No pudieron compartir detalles. Una publicación de uno de los investigadores inicialmente hacía referencia a la actividad, pero luego fue eliminada.
Un portavoz de Google dijo que ni Google ni ninguno de sus productos se vieron afectados por la campaña de ingeniería social.
Un representante de Okta dijo que la empresa no tenía ninguna información específica sobre ninguna investigación realizada por los investigadores de Google. El representante dijo que si Google estuviera investigando estos ataques sería a petición de una organización comprometida, no de Okta.
«Okta Threat Intelligence comparte habitualmente investigaciones sobre amenazas para ayudar a las empresas a protegerse contra la evolución de las técnicas de ingeniería social», dice el informe. representante dijo Cybersecurity Dive en un comunicado. «Si bien la plataforma y los servicios de Okta siguen siendo seguros, Okta está llamando la atención sobre estas técnicas en evolución para ayudar a crear conciencia y respaldar defensas más sólidas para los clientes».
Un portavoz de Microsoft dijo que la compañía no tenía nada que compartir en este momento, pero que proporcionaría actualizaciones futuras, si fuera necesario.
Fuente