Los investigadores advierten que una campaña de extorsión recientemente revelada vinculada a ShinyHunters representa una escalada de las tácticas utilizadas por el grupo.
ShinyHunters a finales del mes pasado se atribuyó el mérito de una serie de ataques de phishing de voz lo que derivó en demandas de extorsión contra cinco organizaciones.
Múltiples grupos vinculados a una campaña de la marca ShinyHunters que aprovecha el phishing de voz y los sitios de recolección de credenciales de la marca de la víctima para obtener acceso a entornos corporativos obteniendo acceso a credenciales de inicio de sesión único y códigos de autenticación multifactor. Según Mandiant, el brazo de respuesta a incidentes de Google Threat Intelligence Group.
Después de obtener acceso, los grupos de amenazas apuntan a aplicaciones de software como servicio basadas en la nube para robar datos confidenciales y otros documentos internos para usarlos en futuras campañas de extorsión.
Los investigadores de GTIG están rastreando los grupos de amenazas como UNC6661, UNC6671 y UNC6240.
Desde mediados de enero, los piratas informáticos de UNC6661 llamaron a los empleados de las organizaciones víctimas bajo el pretexto de ser personal de TI. Los piratas informáticos afirmaron falsamente que la empresa estaba actualizando la configuración multifactor y dirigieron a los trabajadores a un sitio de recolección de credenciales de marca. Esto permitió que el sitio capturara códigos MFA y credenciales de inicio de sesión único.
Mandiant confirmó que, en ciertos casos, los piratas informáticos obtuvieron acceso a cuentas de clientes de Okta. Se hizo referencia a esta actividad en una publicación de blog de Okta en enero sobre una campaña que utiliza kits de phishing.
Basándose en varias cuestiones superpuestas, incluido el uso de una cuenta Tox común como parte de las negociaciones, los investigadores vincularon la actividad de extorsión posterior con la UNC6240. Los correos electrónicos de extorsión proporcionaban algunos detalles de lo robado y exigían el pago en un plazo de 72 horas.
Los investigadores confirmaron un nuevo sitio de filtración de datos publicado a finales de enero con información sobre presuntas víctimas. Como se informó anteriormente, el investigador de seguridad Alon Gal dijo a Cybersecurity Dive que se afirmaron ataques contra cinco organizaciones.
Los piratas informáticos vinculados a UNC6671 han llevado a cabo ataques similares, haciéndose pasar por personal de TI, desde principios de enero. Los dominios de recolección de credenciales utilizaron la misma estructura que los utilizados por UNC6661, pero se registraron a través de un servicio diferente.
Fuente