Le groupe a publié des données volées sur Match.com, Bumble et Panera Bread dans le cadre de ce qui semble être une campagne SLSH contre des entreprises cibles de grande valeur.
Le célèbre groupe d’extorsion ShinyHunters a publié des dizaines de Go de fichiers qu’il prétend avoir volés aux applications de rencontres Hinge, Match, OkCupid et Bumble. Bien qu’il n’y ait aucune confirmation officielle sur la façon dont les entreprises ont été piratées, les chercheurs pensent que les activités du groupe ont déclenché un récent avis d’Okta concernant une augmentation des attaques d’ingénierie sociale vocales soutenues par des kits de phishing automatisés.
La dernière fuite de données qui affecte les services et applications de rencontres intervient après que le groupe a récemment publié des fichiers volés sur SoundCloud, CrunchBase, Betterment, CarMax, Edmuns.com et Panera Bread, suggérant que la liste des victimes pourrait être ou s’allonger.
En activité depuis 2020, ShinyHunters, également suivi sous le nom d’UNC6040, a volé des données de nombreuses marques et organisations bien connues au fil des ans. Les techniques connues du groupe consistent à usurper l’identité du personnel informatique pour compromettre les comptes des employés.
En septembre dernier, des sociétés de sécurité ont rapporté que ShinyHunters avait uni ses forces avec deux autres groupes de hackers notoires, LAPSUS$ et Scattered Spider. Les fuites de données de la semaine dernière sont probablement le résultat d’une frénésie de piratage beaucoup plus importante dans laquelle le nouveau collectif s’est récemment engagé.
La société de sécurité Silent Push a détecté une nouvelle infrastructure de phishing qui correspond aux tactiques, techniques et procédures (TTP) des SLSH (Scattered LAPSUS$ Hunters) mise en place pour cibler plus de 100 organisations de grande valeur au cours du mois dernier. L’infrastructure implique un « Live Phishing Panel » qui permet aux attaquants d’effectuer une attaque de l’homme du milieu sur les sessions de connexion en temps réel dans le but de capturer les informations d’identification et les jetons d’authentification multifacteur (MFA) pour les plates-formes d’authentification unique (SSO), y compris Okta.
« Nous poursuivons notre enquête avec l’aide d’experts externes en cybersécurité », a indiqué la société. « Rien n’indique que les informations de connexion des utilisateurs, les informations financières ou les communications privées ont été consultées. Nous pensons que l’incident affecte une quantité limitée de données utilisateur et nous sommes déjà en train d’informer les individus, le cas échéant. «
Bumble et Panera Bread n’ont pas répondu aux demandes de commentaires.
Kits de phishing conçus pour les attaques vocales
Okta a mis en garde la semaine dernière contre une augmentation des attaques contre les comptes Okta, Microsoft et Google, activées par des kits de phishing commerciaux spécialement conçus pour rendre plus efficaces les attaques d’ingénierie sociale basées sur la voix.
Les kits de phishing sont des ensembles d’outils automatisés, de scripts et de modèles de sites Web qui permettent aux cybercriminels de créer de faux sites Web et de lancer des attaques de vol d’identifiants. Cependant, lorsque les victimes utilisent la MFA, le succès de ces outils peut être assez faible car les attaquants ne peuvent pas deviner quel type de MFA un compte a activé. Est-ce un code généré par une application mobile ? Est-ce un code envoyé par SMS ? S’agit-il d’une notification push envoyée à leur appareil mobile sur laquelle ils doivent appuyer ? Les sites Web peuvent proposer plusieurs options MFA et c’est aux utilisateurs et aux entreprises de les configurer.
Mais lorsqu’elles sont combinées aux appels vocaux, également appelés phishing vocal ou vishing, ces attaques deviennent beaucoup plus puissantes, car l’attaquant peut tester les informations d’identification de l’utilisateur en temps réel sur le site légitime, voir quel type de MFA il est invité et modifier sa page de phishing en temps réel.
« Cette orchestration de session en temps réel offre un nouveau niveau de contrôle et de visibilité à l’ingénieur social », ont déclaré les chercheurs d’Okta. « S’il lui est présenté une notification push (type de défi MFA), par exemple, un attaquant peut dire verbalement à l’utilisateur d’attendre une notification push et sélectionner une option dans son panneau C2 qui dirige le navigateur de sa cible vers une nouvelle page affichant un message impliquant qu’un message push a été envoyé, donnant ainsi de la plausibilité à ce qui serait normalement une demande suspecte pour que l’utilisateur accepte un défi qu’il n’a pas lancé. «
Ces attaques hybrides peuvent également vaincre l’une des techniques MFA les plus puissantes conçues pour contrer le phishing automatisé des codes MFA : des notifications push qui demandent aux utilisateurs de saisir dans leur application d’authentification mobile un numéro généré par le site Web légitime, au lieu de saisir sur le site Web un numéro généré par l’application.
Cela échoue avec les attaques automatisées, car si l’utilisateur voit une page de phishing au lieu du site Web légitime, il ne sait pas quel numéro saisir dans son application d’authentification. Mais un attaquant au téléphone avec eux peut le leur dire – ou peut modifier le site de phishing à la volée pour afficher le numéro qu’il sait que le site Web légitime attend.
Gal a également noté qu’il avait vérifié les données récemment divulguées et qu’elles correspondaient aux sociétés victimes nommées, ce qui est cohérent avec les précédentes affirmations et versions de ShinyHunters.
Atténuation
Le rapport Okta contient des liens vers des avis précédents qui incluent à la fois des indicateurs de compromission et des TTP pour les acteurs connus ciblant les connexions SSO. Pendant ce temps, Silent Push conseille aux organisations d’informer leurs employés des attaques ShinyHunters en cours afin qu’ils soient en alerte au cas où ils seraient contactés par des appelants.
Les entreprises doivent demander à leurs employés de vérifier les appels d’assistance informatique via un canal hors bande officiel et doivent vérifier régulièrement les journaux de leur fournisseur de système de support opérationnel (OSS) pour détecter les événements indiquant que de nouveaux appareils sont inscrits sur des comptes, suivis de connexions à partir de nouvelles adresses IP.
