Ataques de phishing no Gitlocker
No cenário em evolução das ameaças à segurança cibernética, surgiu uma nova campanha de ataque ao Gitlocker, visando os repositórios GitHub. Esta operação envolve atores maliciosos comprometendo contas, limpando o conteúdo do repositório e exigindo que as vítimas os contatem via Telegram para obter mais instruções. Este artigo investiga as especificidades desta campanha, seu modus operandi e recomenda medidas de segurança para proteção contra tais ataques.
Índice
Modo Operandi de Ataque
Os invasores da campanha Gitlocker têm como alvo específico os repositórios GitHub. Depois de obter acesso a um repositório, eles limpam seu conteúdo. Os invasores então renomeiam o repositório e deixam um arquivo README.me com uma nota de resgate, instruindo as vítimas a contatá-los no Telegram.
Credenciais roubadas
O ator de ameaça por trás desta campanha, operando sob o nome de Gitloker no Telegram, parece obter acesso a contas do GitHub usando credenciais roubadas. Fazendo-se passar por analistas de incidentes cibernéticos, eles afirmam ter feito backup dos dados comprometidos e se oferecem para ajudar a restaurá-los. O texto completo da nota de resgate diz:
'Espero que esta mensagem o encontre bem. Este é um aviso urgente para informar que seus dados foram comprometidos e que garantimos um backup.'
Resposta e recomendações
Após ataques anteriores, o GitHub aconselhou os usuários a alterar suas senhas para proteger suas contas contra acesso não autorizado. Esta ação é crucial para evitar atividades maliciosas, como adição de novas chaves SSH, autorização de novos aplicativos ou modificação de membros da equipe.
Medidas de segurança aprimoradas
Para evitar novos comprometimentos e detectar atividades suspeitas, os usuários são incentivados a implementar as seguintes medidas de segurança:
- Habilite a autenticação de dois fatores (2FA) : Adicionando uma camada extra de segurança ao processo de login.
- Adicione uma senha : para um login seguro e sem senha.
- Revise e revogue acesso não autorizado : verifique e gerencie regularmente chaves SSH, implante chaves e integrações autorizadas.
- Verifique os endereços de e-mail : certifique-se de que todos os endereços de e-mail associados estejam corretos e seguros.
- Revise os registros de segurança da conta : rastreie as alterações do repositório para identificar quaisquer modificações não autorizadas.
- Gerenciar Webhooks : audite e gerencie regularmente webhooks em repositórios.
Contexto histórico dos compromissos do GitHub
O ataque ao Gitlocker não é um incidente isolado. As contas do GitHub já foram alvo e comprometidas, levando a violações de dados significativas.
Março de 2020 Microsoft Breach : Hackers comprometeram a conta da Microsoft, roubando mais de 500 GB de arquivos de repositórios privados. Embora os dados roubados consistissem principalmente em amostras de código e projetos de teste, havia preocupações sobre a exposição de chaves e senhas privadas de API. O agente de ameaças ShinyHunters acabou vazando os dados gratuitamente após planejar inicialmente vendê-los.
Campanha de phishing de setembro de 2020 : usuários do GitHub foram alvo de uma campanha de phishing envolvendo notificações falsas do CircleCI. Os invasores pretendiam roubar credenciais do GitHub e códigos 2FA por meio de proxies reversos. Depois de comprometer as contas, eles exfiltraram os dados e adicionaram novas contas de usuários para manter o acesso persistente.
Conclusão
O ataque de phishing Gitlocker destaca a ameaça persistente aos repositórios online e a importância de práticas de segurança robustas. Ao implementar as medidas de segurança recomendadas e permanecer vigilantes, os usuários podem proteger melhor suas contas GitHub contra acesso não autorizado e possível perda de dados. À medida que as ameaças cibernéticas continuam a evoluir, manter uma abordagem proativa à segurança é essencial para proteger ativos digitais valiosos.