Uma análise detalhada dos ataques de phishing do 0ktapus

Saiba como o SOC da Swimlane utilizou a automação de segurança de baixo código para reagir a um possível ataque à cadeia de suprimentos.

O que era 0ktapus?

O 0ktapus foi uma campanha massiva de phishing descoberta pela equipe de pesquisa da Group-IB, que tinha como alvo clientes da Okta para enviar mensagens de texto contendo links para sites de phishing que imitavam a página de autenticação da Okta de suas organizações, coletando credenciais da Okta e códigos de autenticação de dois fatores (2FA).

Este ataque, utilizado pelos agentes maliciosos, não é uma técnica nova, mas tem sido usado em larga escala recentemente. Uma vez que os agentes maliciosos obtêm credenciais e códigos de autenticação de dois fatores, eles conseguem se infiltrar na empresa alvo. A maioria das organizações afetadas por esses agentes maliciosos eram empresas de software, seguidas por empresas dos setores de telecomunicações, serviços empresariais, finanças, educação, varejo e logística.

De acordo com Leitura Sombria, Aproximadamente 10.000 credenciais Okta e autenticação de dois fatores (2FA) foram comprometidas nesta campanha de phishing. A equipe de pesquisa do Group-IB identificou um total de 169 domínios únicos utilizados neste ataque de phishing, e todos os Indicadores de Comprometimento (IOCs) associados podem ser encontrados aqui. aqui.

Cronologia dos eventos

Sobre 26 de agosto de 2022, Com a ajuda da automação de segurança de baixo código, nossa equipe do centro de operações de segurança (SOC) conseguiu reagir rapidamente a uma notificação do nosso parceiro de detecção e resposta gerenciadas (MDR) sobre esse ataque de phishing na cadeia de suprimentos.

A seguir, apresentamos um cronograma de quão rapidamente nossas equipes – segurança, TI e RH – conseguiram reagir a essa campanha de phishing com o uso do Plataforma de raias.

Às 13h08 MDT – O SOC da Swimlane recebeu uma notificação no Slack do nosso parceiro de MDR sobre o ataque à cadeia de suprimentos.

Às 13h13 – O Centro de Operações Especiais (SOC) da Swimlane revisou todos os casos encerrados e utilizou informações de fontes abertas para avaliar possíveis riscos.

Às 13h49 – O SOC da Swimlane criou um novo caso de Resposta a Incidentes (IR) para acompanhar todos os esforços em andamento, incluindo ações pendentes e concluídas. Bloqueamos todos os indicadores de comprometimento (IOCs) atribuídos em nossa infraestrutura, incluindo firewalls de aplicativos da Web (WAF), firewalls de rede (NFW) e também todos os nossos endpoints.

Às 14:07 – Com o auxílio da automação, a equipe de segurança iniciou uma busca por indicadores de comprometimento (IOCs) utilizando todos os recursos do Swimlane SOC, SIEM, nuvem e entidades de endpoint. Esse esforço não resultou em nenhuma descoberta ou comprometimento.

Às 14:19 – Utilizando a automação Swimlane, atualizamos as regras e políticas para todos os ambientes de TI corporativos e em nuvem, a fim de isolar e conter qualquer atividade vinculada a indicadores de comprometimento (IOCs) conhecidos e confirmados como associados a este ataque.

Às 14h48 – O SOC concluiu sua investigação e nenhum impacto foi observado em nossa organização.

Medidas em curso para mitigar o risco

Como parte da nossa resposta a essa campanha de phishing, nossas equipes de segurança e de RH realizaram treinamentos sobre smishing para os funcionários, a fim de manter todos informados sobre as ameaças que estão sendo utilizadas.

As organizações também devem considerar desativar senhas de uso único, como SMS e notificações push, pois são menos seguras e, como vimos, podem ser usadas de forma maliciosa para atacar uma organização. As empresas também podem utilizar chaves de segurança compatíveis com FIDO-2 para autenticação multifator, pois isso reduziria a superfície de ataque das empresas visadas.

Como a automação de segurança de baixo código ajudou

Automação de segurança de baixo código e adequada gestão de casos São ferramentas importantes que ajudam a responder rapidamente a qualquer ameaça. Se não fosse pelos casos de uso de detecção de ameaças e resposta a incidentes do Swimlane, nossa equipe do SOC precisaria fazer login individualmente em cada ferramenta de segurança para poder procurar e bloquear os indicadores de comprometimento (IOCs) usados nessa campanha de phishing.

Com a plataforma da Swimlane, conseguimos implementar a automação rapidamente e reduzir nosso tempo médio de resolução (MTTR). Recorremos à nossa plataforma de automação, orquestração e resposta de segurança para nos ajudar a:

• Automatize as etapas manuais do processo de COI (Controle Integrado de Oxigênio).
• Sinalizar e descartar automaticamente falsos positivos
• Reunir contexto para enriquecer os IOCs em velocidades de máquina.

A equipe de operações de segurança da Swimlane utiliza automação de segurança de baixo código para reduzir erros e falsos positivos durante o processo de investigação. Ela lida com tarefas rotineiras e demoradas, permitindo que nossos analistas dediquem seu tempo a decisões mais estratégicas. Isso nos possibilitou reagir instantaneamente à campanha de phishing do 0ktapus e reforçar a importância da segurança.

Guia do comprador para automação de segurança moderna

As equipes de SOC (Centro de Operações de Segurança) corporativas reconhecem a necessidade de automação, mas frequentemente enfrentam dificuldades com as próprias soluções de automação. As soluções de Orquestração, Automação e Resposta de Segurança (SOAR) geralmente exigem scripts complexos. Este guia analisa a ampla gama de plataformas de automação de segurança disponíveis atualmente, para que você possa identificar o tipo de solução que melhor atende às suas necessidades. 

Baixe o e-book