Octa advierte sobre ataques de ingeniería social al personal de servicios de TI

Okta, proveedor de servicios de gestión de identidades y accesos, advierte sobre continuos ataques de ingeniería social a los empleados de los departamentos de servicios de TI. Los atacantes podrían haber obtenido acceso a los roles más privilegiados en la organización del cliente Okta si los ataques hubieran tenido éxito. Los actores maliciosos utilizaron nuevos métodos para moverse por la red y evadir la detección. Sin embargo, los clientes pueden protegerse de esto y existen varias formas de conocer estos métodos.

anuncio

Ataques de Okta: engañar a las víctimas para que restablezcan los factores MFA

en La advertencia de seguridad escribe octaque muchos de los clientes de Okta en EE.UU. han informado de ataques de ingeniería social similares. Los atacantes se dirigen al personal de servicios de TI, a quien los ciberdelincuentes intentan engañar para que realicen llamadas, lo que les obliga a restablecer todas las MFA registradas para los usuarios con amplios derechos de acceso.

Los atacantes abusan de estos accesos con altos privilegios para utilizar funciones legítimas de gestión de identidad y hacerse pasar por otros usuarios de la organización comprometida. Octa también describe los ataques de forma más específica.

Tres actores maliciosos tenían contraseñas para cuentas privilegiadas o pudieron alterar la autenticación delegada en Active Directory (AD) antes de comunicarse con el servicio de TI de la organización objetivo. Luego solicitaron que se restablecieran todos los factores MFA de la cuenta afectada. Los atacantes atacaron el acceso utilizando derechos de acceso de administrador privilegiados.

movimiento en la red

A las cuentas comprometidas se accedía de esta manera mediante agentes anónimos con direcciones IP y dispositivos que no se habían utilizado previamente en el contexto de la cuenta. Al utilizar derechos de cuenta de administrador privilegiados, los atacantes otorgan a otras cuentas mayores derechos o restablecen los factores de autenticación registrados en cuentas de administrador existentes y, a veces, ambos.

anuncio

En algunos casos, los atacantes simplemente desactivaron el requisito del segundo factor de autenticación en las políticas de autenticación. Además, los atacantes obtuvieron acceso a las aplicaciones de la organización comprometida en nombre de otros accesos a través de proveedores de identidad contrabandeados y manipulados a través del sistema de inicio de sesión único.

Octa sugiere algunas medidas preventivas. Los clientes deben utilizar métodos de autenticación antiphishing, como el sistema interno “Fastpass”, o confiar en FIDO2 WebAuthn (claves de acceso). En las políticas de autenticación, todas las aplicaciones con los privilegios más altos, incluida la consola de administración, deben configurarse para requerir una nueva autenticación en cada inicio de sesión. Para la recuperación de autoservicio, los administradores de TI deben confiar en las herramientas de autenticación más potentes posibles, Okta Verifiy o Google Authenticator. Además, la recuperación debe limitarse a redes conocidas y confiables, como IP, ASN o Geo-IP.

En la Advertencia de seguridad, Okta brinda consejos adicionales sobre cómo detectar ataques. También existen otros indicadores de ataques exitosos (Indicadores de Compromiso, IOC).

A principios del año pasado, Okta fue víctima de una violación cibernética en el proveedor de servicios que atiende a los clientes de la empresa. Al principio parecía que esto afectaba a varios cientos de clientes más, pero al final probablemente sólo fueron dos. Poco antes de principios de año, los atacantes también obtuvieron acceso al código fuente de la empresa en Github y lo copiaron. Okta explicó que esto no es un problema de seguridad porque la empresa no depende de la confidencialidad del código fuente para proteger sus servicios.

(tu sangre)