Un análisis profundo de los ataques de phishing de 0ktapus

Descubra cómo el propio SOC de Swimlane utilizó la automatización de seguridad de código bajo para reaccionar ante un posible ataque a la cadena de suministro.

¿Qué era 0ktapus?

0ktapus fue una campaña de phishing masiva que fue descubierta por el equipo de investigación de Group-IB, que tenía como objetivo que los clientes de Okta recibieran mensajes de texto que contenían enlaces a sitios de phishing que imitaban la página de autenticación de Okta de su organización, que recolectaba credenciales de Okta y códigos de autenticación de dos factores (2-FA).

Este ataque, utilizado por actores maliciosos, no es una técnica nueva, pero recientemente se ha utilizado a gran escala. Una vez que obtienen credenciales y códigos de dos factores, pueden atacar a la empresa objetivo. La mayoría de las organizaciones afectadas eran empresas de software, seguidas de las de los sectores de telecomunicaciones, servicios empresariales, finanzas, educación, comercio minorista y logística.

De acuerdo a Lectura oscura, Aproximadamente 10 000 credenciales de Okta y autenticación de dos factores (2-FA) se vieron comprometidas en esta campaña de phishing. El equipo de investigación de Group-IB descubrió un total de 169 dominios únicos utilizados en este ataque de phishing, y todos los indicadores de compromiso (IOC) asociados se pueden encontrar. aquí.

Cronología de los acontecimientos

En 26 de agosto de 2022, Con la ayuda de la automatización de seguridad de bajo código, nuestro equipo del centro de operaciones de seguridad (SOC) pudo reaccionar rápidamente a una notificación de nuestro socio de detección y respuesta administradas (MDR) sobre este ataque de phishing en la cadena de suministro.

A continuación se muestra una cronología de la rapidez con la que nuestros equipos (seguridad, TI y RR. HH.) pudieron reaccionar a esta campaña de phishing con el uso de Plataforma de carriles de natación.

A las 13:08 MDT – El SOC de Swimlane recibió una notificación de Slack de nuestro socio MDR sobre el ataque a la cadena de suministro.

A las 13:13 – El SOC de Swimlane revisó todos los casos cerrados y utilizó inteligencia de fuentes abiertas para evaluar cualquier riesgo.

A las 13:49 El SOC de Swimlane creó un nuevo caso de Respuesta a Incidentes (IR) para dar seguimiento a todas las acciones en curso, incluyendo las pendientes y las completadas. Bloqueamos todos los IOC atribuidos en nuestra infraestructura, incluyendo firewalls de aplicaciones web (WAF), firewalls de red (NFW) y todos nuestros endpoints.

A las 14:07 Con la ayuda de la automatización, el equipo de seguridad inició una búsqueda de IOC utilizando todos los recursos de Swimlane SOC, SIEM, nube y endpoints. Esta iniciativa no tuvo consecuencias ni riesgos.

A las 14:19 – Al utilizar la automatización de Swimlane, actualizamos las reglas y políticas para todos los entornos de TI y nube empresariales para aislar y contener cualquier actividad vinculada a los IOC conocidos que se confirmó que están asociados con este ataque.

A las 14:48 – El SOC concluyó su investigación y no se observó ningún impacto en nuestra organización.

Medidas continuas para mitigar el riesgo

Como parte de nuestra respuesta a esta campaña de phishing, nuestros equipos de seguridad y recursos humanos realizaron capacitación sobre smishing para empleados para mantener a todos informados sobre las amenazas que se utilizan.

Las organizaciones también deberían considerar deshabilitar las contraseñas de un solo uso, como las de SMS y notificaciones push, ya que son menos seguras y, como hemos visto, pueden usarse de forma maliciosa para atacar a una organización. Las empresas también pueden utilizar claves de seguridad compatibles con FIDO-2 para la autenticación multifactor, ya que esto reduciría la superficie de ataque de las empresas atacadas.

Cómo ayudó la automatización de seguridad de bajo código

Automatización de seguridad de bajo código y adecuada gestión de casos Son herramientas importantes que ayudan a responder rápidamente a cualquier amenaza. Si no fuera por los casos de uso de detección de amenazas y respuesta a incidentes de Swimlane, nuestro equipo de SOC tendría que iniciar sesión individualmente en cada herramienta de seguridad para buscar y bloquear los IOC utilizados en esta campaña de phishing.

Gracias a la plataforma de Swimlane, pudimos aprovechar rápidamente la automatización y reducir nuestro tiempo medio de resolución (MTTR). Recurrimos a nuestra plataforma de automatización, orquestación y respuesta de seguridad para:

• Automatizar los pasos manuales del proceso IOC
• Marcar y descartar automáticamente los falsos positivos
• Recopilar contexto para enriquecer los IOC a velocidades de máquina

El equipo de operaciones de seguridad de Swimlane utiliza la automatización de seguridad de bajo código para reducir errores y falsos positivos durante el proceso de investigación. Gestiona tareas rutinarias y que requieren mucho tiempo para que nuestros analistas puedan dedicar su tiempo a tomar decisiones más estratégicas. Esto nos permitió reaccionar de inmediato ante la campaña de phishing de 0ktapus y reforzar el valor de la seguridad.

Guía del comprador para la automatización de la seguridad moderna

Los equipos de SOC empresariales reconocen la necesidad de automatización, pero a menudo tienen dificultades con las propias soluciones de automatización. Las soluciones de Orquestación, Automatización y Respuesta de Seguridad (SOAR) suelen requerir scripts extensos. Esta guía analiza la amplia gama de plataformas de automatización de seguridad disponibles actualmente para que pueda identificar la solución que mejor se adapte a sus necesidades. 

Descargar libro electrónico