Campanha de phishing atinge 130 empresas e rouba mais de 9 mil credenciais

Uma campanha de disseminação de phishing em larga escala atingiu mais de 130 empresas de todo o mundo, resultando no comprometimento de mais de 9,9 mil credenciais corporativas, incluindo organizações localizadas no Brasil. A onda de ataques estaria visando a realização de ataques contra a cadeia de suprimentos e estaria em andamento desde março deste ano.

Nomes de peso como Twilio, responsável por sistemas de comunicação via web, e o serviço de gerenciamento de sites Cloudflare, estariam entre os atingidos pelos ataques, que tinham credenciais de acesso e sistemas de autenticação em duas etapas como objetivos. A campanha acontecia a partir de mensagens SMS enviadas aos celulares de funcionários, os levando a sites maliciosos que simulavam um processo de verificação normal.

Do volume comprometido, 3,1 mil registros são de nomes de usuário ou e-mails usados em login, enquanto outros 5,4 mil correspondem a códigos de verificação em dois fatores. Os Estados Unidos foram o principal alvo, com 5,5 mil comprometimentos e 114 organizações atingidas; a Grã Bretanha aparece em um distante segundo lugar, com apenas 97 indicadores, seguida pelo Canadá, com 55. No Brasil, são cinco entradas, mas não se sabe se correspondem a uma única empresa ou diferentes companhias.

Maior parte das credenciais comprometidas pertence a empresas dos Estados Unidos, onde 114 organizações foram atingidas pelos ataques; Brasil aparece na lista com cinco entradas de dados obtidas por criminosos (Imagem: Divulgação/Group-IB)

Por trás da campanha, batizada de 0ktapus, estaria uma infraestrutura gerenciada principalmente pelo Telegram, com pelo menos um criminoso cujos registros apontam também para os EUA. Os dados eram enviados pelo mensageiro a partir de um total de 169 domínios maliciosos criados para simular sistemas de autenticação da Okta, usado principalmente por empresas dos setores de tecnologia da informação, desenvolvimento de software e cloud computing.

De acordo com o relatório da Group-IB, responsável por revelar a campanha, não se sabe como os bandidos conseguiram os telefones das possíveis vítimas, mas como os ataques começaram a partir de operadoras de telefonia, é possível que esse tenha sido o vetor inicial do vazamento. Elas, inclusive, aparecem em segundo lugar entre os setores mais atingidos, com 22 incidentes, atrás das desenvolvedoras de software, com 53 casos registrados.

Na visão de Rustam Mirkasymov, diretor de pesquisas em ameaças da Group-IB, os ataques são mais uma demonstração da vulnerabilidade das empresas modernas, com ataques de engenharia social considerados básicos ainda tendo efeitos devastadores mesmo com a implementação de sistemas de segurança avançados. “Os métodos usados não são especiais, mas o planejamento e disseminação de uma companhia para outra fazem com que a campanha mereça atenção, completou.

O alerta do Group-IB inclui também indicadores de comprometimento e detalhes técnicos da exploração, incluindo os do sistema de envio das informações para o Telegram. As empresas atingidas foram notificadas pelos especialistas.

Fonte: Group-IB

FONTE: https://canaltech.com.br/seguranca/campanha-de-phishing-atinge-130-empresas-e-rouba-mais-de-9-mil-credenciais-224032/