Los piratas informáticos están utilizando ataques a los servicios en la nube como una forma de atacar a personas ricas en las industrias financiera y de seguros.
Según los expertos en seguridad de Eclectic IQ, las APT, conocidas por los defensores como “Scattered Spiders”, están intentando infiltrarse en instancias corporativas de nube, robar datos y luego pagar un rescate para recuperar el acceso por mucho dinero.
Los objetivos más comunes de los ataques son empresas de los altamente rentables sectores financiero y de seguros, lo que sugiere que los grupos de hackers esperan grandes recompensas antes de suspender sus ataques.
Este movimiento se considera una ligera desviación de las tácticas habituales de Scattered Spider.
“Scattered Spiders se dirige principalmente a los servicios de asistencia técnica de TI y a los administradores de identidades, y a menudo utilizan técnicas de ingeniería social basadas en teléfonos, como el phishing por voz (vishing) y el phishing por mensajes de texto (smishing), para engañar y manipular a sus objetivos”, explica la investigadora Arda Büyükkaya.
“Para ganar confianza y acceso, los atacantes a menudo se hacen pasar por empleados, manipulan la configuración de MFA y dirigen a las víctimas a portales de inicio de sesión falsos”.
Los investigadores descubrieron que los atacantes utilizan una variedad de métodos para obtener acceso a los servicios en la nube. Uno de los métodos más notables fue buscar servicios como GitHub para encontrar tokens de acceso a la nube que los desarrolladores habían dejado accidentalmente en su código fuente. Este es un gran problema para muchas empresas.
Otros métodos más comunes incluyen la compra de credenciales perdidas de otros delincuentes y campañas de phishing que, en última instancia, intentan robar los inicios de sesión de administradores o ejecutivos de servicios en la nube. El grupo también fue visto realizando una campaña de smishing. Esta campaña tiene el beneficio adicional de robar contraseñas de un solo uso de los sistemas MFA.
Se ha observado que los piratas informáticos atacan servicios de nube populares como AWS EC-2 y Microsoft EntraID, así como Okta, ServiceNow y VMWare Workspace One.
Desde allí, los atacantes pueden revender las credenciales en foros de crimeware o utilizar las cuentas robadas para acceder a la mayor cantidad posible de datos corporativos y exfiltrarlos para pedir un rescate.
Debido a que estos datos se almacenan en la nube, la mejor manera para que los administradores prevengan ataques es habilitar MFA y educar a todos los empleados sobre las mejores prácticas para detectar y reportar ataques de phishing. Los desarrolladores deben asegurarse de que su código no contenga tokens de acceso privados.
https://packetstormsecurity.com/news/view/36329/Hackers-Use-Cloud-Services-To-Target-Financial-And-Insurance-Firms.html
