Mandiant, una compañía de Google, dijo el viernes que ha visto una «actividad de amenazas ampliada» utilizando técnicas consistentes con ataques con temas de extorsión organizados por un grupo de hackers con motivación financiera conocidos como Shiny Hunters.
Este ataque utiliza un sofisticado phishing de voz (también conocido como vishing) y un sitio agregador de credenciales falso que imita a la empresa objetivo para obtener acceso no autorizado al entorno de la víctima mediante la recopilación de credenciales de inicio de sesión (SSO) y códigos de autenticación multifactor (MFA).
El objetivo final del ataque es atacar aplicaciones de software como servicio (SaaS) basadas en la nube, desviar datos confidenciales y comunicaciones internas, y extorsionar a las víctimas.
El equipo de inteligencia de amenazas del gigante tecnológico dijo que está rastreando la actividad en múltiples grupos, incluidos UNC6661, UNC6671 y UNC6240 (también conocidos como Shiny Hunters), y que estos grupos pueden estar evolucionando su modus operandi o imitando tácticas observadas previamente.
«Esta metodología de apuntar a proveedores de identidad y plataformas SaaS es consistente con observaciones previas de actividad de amenazas antes de la extorsión con la marca ShinyHunters, pero la gama de plataformas en la nube objetivo continúa expandiéndose a medida que estos actores de amenazas buscan datos más confidenciales con fines de extorsión», dijo Mandiant.
«Además, los incidentes recientes parecen haber intensificado las tácticas de extorsión, incluido el acoso a los empleados víctimas».
Aquí hay más detalles sobre la actividad de vishing y robo de credenciales:
Se ha observado que UNC6661 se hace pasar por personal de TI para llamar a los empleados de las organizaciones víctimas específicas y dirigirlos a un enlace de recolección de credenciales que les indica que actualicen su configuración de autenticación multifactor (MFA). Esta actividad se registró desde principios hasta mediados de enero de 2026. Las credenciales robadas luego se utilizan para registrar sus dispositivos con MFA y luego viajan a través de la red para extraer datos de la plataforma SaaS. En al menos un caso, los atacantes armados con acceso a una cuenta de correo electrónico comprometida enviaron más correos electrónicos de phishing a contactos de una empresa centrada en criptomonedas. Luego, el correo electrónico fue eliminado para cubrir sus huellas. A esto le siguen los esfuerzos de extorsión por parte de UNC6240. También se ha observado que UNC6671 engaña a las víctimas haciéndose pasar por personal de TI desde principios de enero de 2026 como parte de un esfuerzo para obtener credenciales y códigos de autenticación MFA en agregadores de credenciales con la marca de la víctima. Al menos en algunos casos, los actores de amenazas obtuvieron acceso a las cuentas de los clientes de Okta. UNC6671 también utilizó PowerShell para descargar datos confidenciales de SharePoint y OneDrive. Las diferencias entre UNC6661 y UNC6671 están relacionadas con el uso de diferentes registradores de dominios para registrar los dominios de recolección de credenciales (NICENIC para UNC6661 y Tucows para UNC6671) y el hecho de que los correos electrónicos de extorsión enviados después de la actividad UNC6671 no se superpusieron con indicadores conocidos de UNC6240. Esto indica que pueden estar involucradas diversas personas, lo que demuestra la naturaleza amorfa de estos grupos de ciberdelincuentes. Además, apuntar a empresas de criptomonedas sugiere que los atacantes pueden estar buscando vías para obtener mayores ganancias financieras.
Para combatir las amenazas que representan las plataformas SaaS, Google ha descrito una larga lista de recomendaciones de protección, registro y detección.
Mejore los procesos de la mesa de ayuda, como exigir al personal que realice videollamadas en vivo para verificar la identidad. Restrinja el acceso a puntos de salida y ubicaciones físicas confiables. Haga cumplir contraseñas seguras. Elimine SMS, llamadas telefónicas y correos electrónicos como métodos de autenticación. Restrinja el acceso al plano de administración, audite los secretos expuestos y aplique controles de acceso a los dispositivos. Implemente el registro para aumentar la visibilidad de las acciones de identidad, autorizaciones y operaciones de exportación de SaaS. Detecte la inscripción de dispositivos MFA y los cambios en el ciclo de vida de MFA. Busque eventos de autenticación de aplicaciones/OAuth que sugieran actividad de manipulación del buzón mediante utilidades como ToogleBox Email Recall, o eventos de identificación que ocurran fuera del horario comercial normal.
Google dijo: «Esta acción no es el resultado de ninguna vulnerabilidad de seguridad en los productos o la infraestructura del proveedor». «En cambio, continuamos enfatizando la efectividad de la ingeniería social y enfatizando la importancia de que las organizaciones adopten MFA resistente al phishing siempre que sea posible. Métodos como las claves de seguridad y claves de acceso FIDO2 son resistentes a la ingeniería social, a diferencia de la autenticación basada en push o SMS».
Source link
