0ktapus Phishing Kit

Els ciberdelinqüents han aconseguit violar més de 130 organitzacions com a part d'una sèrie de ciberatacs. Les operacions criminals comencen amb una campanya de pesca generalitzada i ben elaborada que utilitza un kit de pesca anomenat "0ktapus". Segons un informe d'investigadors de seguretat, els actors de l'amenaça van poder recollir prop de 10.000 credencials d'inici de sessió en només un parell de mesos. Es creu que l'operació ha estat activa almenys des del març de 2022. L'objectiu de la campanya 0ktapus sembla haver estat el robatori de les credencials d'identitat d'Okta i els codis 2FA (autorització de dos factors). Amb les dades confidencials obtingudes, els ciberdelinqüents pretenien dur a terme operacions posteriors, com ara atacs a la cadena de subministrament.

Segons l'informe, el kit de pesca 0ktapus es va aprofitar contra empreses de diversos sectors de la indústria, com ara finances, cripto, tecnologia, reclutament, telecomunicacions i molts més. Algunes de les empreses objectiu són AT&T, T-Mobile, Verizon Wireless, Slack, Binance, CoinBase, Twitter, Microsoft, Riot Games, Epic Games, HubSpot, Best Buy i altres.

Els atacs comencen amb missatges SMS que contenen un enllaç a una pàgina de pesca. El lloc web s'assembla molt a la pàgina d'inici de sessió d'Okta legítima i demana als usuaris que proporcionin les credencials del seu compte i els codis 2FA. Okta és una plataforma IDaaS (Identity-as-a-Service), la qual cosa significa bàsicament que els empleats poden utilitzar un únic compte d'inici de sessió i credencials per accedir a tots els actius de programari que necessiten a la seva empresa. Les credencials introduïdes i els codis 2FA van ser raspats pel lloc fals i transmesos a un compte de Telegram controlat pels pirates informàtics.

Naturalment, comprometre les credencials d'Okta dels empleats objectiu permetria als atacants dur a terme una àmplia gamma d'accions nefastes dins de les organitzacions violades. I ho van fer, amb els actors de l'amenaça obtenint accés a VPN corporatives, xarxes, sistemes interns d'atenció al client, etc. Les dades dels clients recollides van ser explotades pels ciberdelinqüents per dur a terme atacs a la cadena de subministrament dirigits als clients de Signal i DigitalOcean.

La campanya de pesca de 0ktapus també ha provocat violacions de dades en organitzacions importants, com Twilio, Klaviyo, MailChimp i un intent d'atac contra Cloudflare. Fins ara, els investigadors han identificat 169 dominis de pesca únics que els actors de l'amenaça van crear com a part de l'operació 0ktapus. Les pàgines fabricades es van dissenyar per assemblar-se a la temàtica adequada de cada empresa objectiu i, a primera vista, semblarien ser els portals legítims que utilitzen diàriament les víctimes. Com a part de l'atac, els actors de l'amenaça han aconseguit recollir 9.931 credencials dels empleats de 136 empreses, 3.129 registres amb correus electrònics i un total de 5.441 registres que contenen codis MFA.