Cómo robar todo de OneDrive sin que nadie lo note: clase magistral de ingeniería social de ShinyHunters
Alertas sobre la invasión desaparecen antes de que puedan leerse
La empresa Mandiant informó sobre la expansión de una serie de ataques relacionados con operaciones de extorsión bajo la marca ShinyHunters. Una nueva ola de incidentes muestra que los atacantes emplean cada vez más el vishing y páginas de acceso falsas para obtener acceso a servicios corporativos en la nube y robar datos para presionar a las organizaciones.
Según el informe, los atacantes se hacen pasar por empleados de los departamentos de TI y llaman a trabajadores de las empresas con el pretexto de cambiar la configuración de la autenticación multifactor. Durante la llamada, las víctimas son dirigidas a sitios que copian externamente los portales internos de acceso. Allí se recopilan las credenciales de inicio de sesión único y los códigos de verificación de un solo uso. Después, los atacantes registran sus propios dispositivos en el sistema de verificación de acceso y se afianzan en la infraestructura.
La actividad se rastrea en varios clústeres identificados como UNC6661, UNC6671 y UNC6240. Los analistas del equipo de análisis de amenazas de Google señalan que los métodos coinciden con operaciones previas de ShinyHunters, pero la lista de plataformas en la nube objetivo ha aumentado notablemente. Los delincuentes buscan obtener la mayor cantidad posible de correspondencia interna y documentos de trabajo para extorsionar posteriormente a las organizaciones. En algunos casos se han registrado intentos de presionar a empleados de las organizaciones afectadas.
Se subraya que no se trata de vulnerabilidades en los productos de los proveedores. El factor principal del éxito de los ataques es la ingeniería social. Como medida de protección más resistente se mencionan métodos de autenticación no vulnerables al phishing, incluidos tokens de hardware y passkeys, que impiden confirmar el acceso mediante un código recibido por mensaje o mediante una solicitud push.
Tras la compromisión de cuentas, los atacantes se mueven por los servicios en la nube y descargan archivos de SharePoint, OneDrive, Salesforce y DocuSign. Se observaron búsquedas dirigidas por palabras clave relacionadas con material confidencial, proyectos internos y VPN. En incidentes aislados se utilizaron complementos para servicios de correo con los que se eliminaban las notificaciones de cambio de configuración de seguridad para ocultar las huellas de la intrusión.
También se registraron casos en los que, desde buzones de correo comprometidos, se enviaron nuevos correos de phishing a empresas del sector de las criptomonedas. Tras el envío, esos mensajes eran eliminados. Las campañas de extorsión iban acompañadas de correos exigiendo rescate, la publicación de muestras de datos robados y amenazas de ataques de denegación de servicio contra los sitios de las víctimas.
Los expertos señalan que los dominios maliciosos suelen hacerse pasar por portales corporativos de acceso y de soporte, utilizando combinaciones del nombre de la empresa con palabras como sso, internal, support y access. Gran parte de la infraestructura de red utilizada en los ataques está relacionada con VPN comerciales y servicios proxy, por lo que el bloqueo requiere una configuración cuidadosa y análisis adicional.