Empleados de GoDaddy utilizados en ataques a múltiples servicios de criptomonedas – Krebs on Security


Los estafadores redirigieron el correo electrónico y el tráfico web destinado a varias plataformas de comercio de criptomonedas durante la semana pasada. Los ataques fueron facilitados por estafas dirigidas a empleados en Ve papi, el registrador de nombres de dominio más grande del mundo, ha aprendido KrebsOnSecurity.

El incidente es la última incursión en GoDaddy que se basó en engañar a los empleados para que transfirieran la propiedad y / o el regulate de los dominios específicos a los estafadores. En marzo, una estafa de phishing de voz dirigida a los empleados de soporte de GoDaddy permitió a los atacantes asumir el command de al menos media docena de nombres de dominio, incluido el sitio de corretaje de transacciones escrow.com.

Y en mayo de este año, GoDaddy reveló que 28.000 de las cuentas de alojamiento net de sus clientes estaban comprometidas tras un incidente de seguridad en octubre de 2019 que no se descubrió hasta abril de 2020.

Esta última campaña parece haber comenzado el 13 de noviembre o alrededor de esa fecha, con un ataque a la plataforma de comercio de criptomonedas. liquid.com.

«Un proveedor de alojamiento de dominios» GoDaddy «que administra uno de nuestros nombres de dominio principales transfirió incorrectamente el regulate de la cuenta y el dominio a un actor malintencionado». Kayamori, CEO de Liquid dicho en una publicación de weblog. “Esto le dio al actor la capacidad de cambiar los registros DNS y, a su vez, tomar el management de varias cuentas de correo electrónico internas. A su debido tiempo, el actor malicioso pudo comprometer parcialmente nuestra infraestructura y obtener acceso al almacenamiento de documentos «.

En las primeras horas de la mañana del 18 de noviembre, hora de Europa Central (CET), el servicio de minería de criptomonedas NiceHash descubrió que algunas de las configuraciones para sus registros de registro de dominio en GoDaddy se cambiaron sin autorización, lo que redirigió brevemente el correo electrónico y el tráfico website para el sitio. NiceHash congeló todos los fondos de los clientes durante aproximadamente 24 horas hasta que pudo verificar que la configuración de su dominio se había cambiado a su configuración first.

«En este momento, parece que no se accedió a correos electrónicos, contraseñas o datos personales, pero sugerimos restablecer su contraseña y activar la seguridad 2FA», escribió la compañía. en una publicación de weblog.

El fundador de NiceHash, Matjaz Skorjanc, dijo que los cambios no autorizados se realizaron desde una dirección de Internet en GoDaddy, y que los atacantes intentaron usar su acceso a sus correos electrónicos entrantes de NiceHash para restablecer contraseñas en varios servicios de terceros, incluidos Flojo y Github. Pero dijo que era imposible alcanzar a GoDaddy en ese momento porque estaba experimentando una interrupción generalizada del sistema en la que los sistemas de teléfono y correo electrónico no respondían.

“Detectamos esto casi de inmediato (y) comenzamos a mitigar (el) ataque”, dijo Skorjanc en un correo electrónico a este autor. “Afortunadamente, los combatimos bien y no obtuvieron acceso a ningún servicio importante. No se robó nada «.

Skorjanc dijo que el servicio de correo electrónico de NiceHash fue redirigido a privateemail.com, una plataforma de correo electrónico administrada por Namecheap Inc., otro gran registrador de nombres de dominio. Utilizando Seguridad de visión lejana, un servicio que mapea los cambios en los registros de nombres de dominio a lo largo del tiempo, KrebsOnSecurity ordenó al servicio que mostrara todos los dominios registrados en GoDaddy que tuvieron alteraciones en sus registros de correo electrónico en la última semana, lo que los dirigió a privateemail.com. Luego, esos resultados se indexaron con el millón de sitios net más populares según Alexa.com.

El resultado muestra que varias otras plataformas de criptomonedas también pueden haber sido atacadas por el mismo grupo, incluyendo Bibox.com, Purple Celsiusy Wirex.application. Ninguna de estas empresas respondió a las solicitudes de comentarios.

En respuesta a las preguntas de KrebsOnSecurity, GoDaddy reconoció que “una pequeña cantidad” de nombres de dominio de clientes se había modificado después de que una cantidad “limitada” de empleados de GoDaddy cayera en una estafa de ingeniería social. GoDaddy dijo que el apagón entre las 7:00 p.m. y 11:00 p.m. PST del 17 de noviembre no estuvo relacionado con un incidente de seguridad, sino más bien un problema técnico que se materializó durante el mantenimiento planificado de la pink.

«Por separado, y sin relación con la interrupción, una auditoría de rutina de la actividad de la cuenta identificó posibles cambios no autorizados en una pequeña cantidad de dominios de clientes y / o información de la cuenta», dijo el portavoz de GoDaddy Dan Race dijo. “Nuestro equipo de seguridad investigó y confirmó la actividad de los actores de amenazas, incluida la ingeniería social de un número limitado de empleados de GoDaddy.«

«Inmediatamente bloqueamos las cuentas involucradas en este incidente, revertimos cualquier cambio que tuvo lugar en las cuentas y ayudamos a los clientes afectados a recuperar el acceso a sus cuentas», continuó la declaración de GoDaddy. «A medida que los actores de amenazas se vuelven cada vez más sofisticados y agresivos en sus ataques, educamos constantemente a los empleados sobre las nuevas tácticas que podrían usarse contra ellos y adoptamos nuevas medidas de seguridad para prevenir futuros ataques».

Race se negó a especificar cómo se engañó a sus empleados para que hicieran cambios no autorizados, diciendo que el asunto aún estaba bajo investigación. Pero en los ataques a principios de este año que afectaron a escrow.com y varios otros dominios de clientes de GoDaddy, los agresores atacaron a los empleados por teléfono y pudieron leer notas internas que los empleados de GoDaddy habían dejado en las cuentas de los clientes.

Además, el ataque a escrow.com redirigió el sitio a una dirección de Online en Malasia que albergaba menos de una docena de otros dominios, incluido el sitio world-wide-web de phishing. servicenow-godaddy.com. Esto sugiere que los atacantes detrás del incidente de marzo, y posiblemente este último, tuvieron éxito al llamar a los empleados de GoDaddy y convencerlos de que usaran sus credenciales de empleado en una página de inicio de sesión de GoDaddy fraudulenta.

En agosto de 2020, KrebsOnSecurity advirtió sobre un marcado aumento en las grandes corporaciones que son blanco de sofisticadas estafas de phishing o «vishing» de voz. Los expertos dicen que el éxito de estas estafas se ha visto favorecido en gran medida por muchos empleados que trabajan de forma remota gracias a la pandemia de coronavirus en curso.

Una estafa típica de vishing comienza con una serie de llamadas telefónicas a los empleados que trabajan de forma remota en una organización específica. Los phishers a menudo explican que están llamando desde el departamento de TI del empleador para ayudar a solucionar problemas con el correo electrónico de la empresa o la tecnología de redes privadas virtuales (VPN).

El objetivo es convencer al objetivo de divulgar sus credenciales por teléfono o de ingresarlas manualmente en un sitio web creado por los atacantes que imita el correo electrónico corporativo o el portal VPN de la organización.

El 15 de julio, se utilizaron varias cuentas de Twitter de alto perfil para tuitear una estafa de bitcoin que ganó más de $ 100,000 en unas pocas horas. Según Twitter, ese ataque tuvo éxito porque los perpetradores pudieron ingeniar socialmente a varios empleados de Twitter por teléfono para que dieran acceso a herramientas internas de Twitter.

Una alerta emitida conjuntamente por el FBI y el Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) dice que los perpetradores de estos ataques vishing compilan expedientes sobre los empleados de sus empresas objetivo utilizando el raspado masivo de perfiles públicos en plataformas de redes sociales, herramientas de reclutamiento y promoting, servicios de verificación de antecedentes disponibles públicamente e investigación de código abierto.

El aviso del FBI / CISA incluye una serie de sugerencias que las empresas pueden implementar para ayudar a mitigar la amenaza de los ataques vishing, que incluyen:

• Restrinja las conexiones VPN a dispositivos administrados únicamente, utilizando mecanismos como comprobaciones de hardware o certificados instalados, de modo que la entrada del usuario por sí sola no sea suficiente para acceder a la VPN corporativa.

• Restrinja las horas de acceso a la VPN, cuando corresponda, para mitigar el acceso fuera de los tiempos permitidos.

• Emplear la supervisión de dominios para realizar un seguimiento de la creación o los cambios en los dominios corporativos de marca.

• Escanee y monitoree activamente las aplicaciones website en busca de accesos no autorizados, modificaciones y actividades anómalas.

• Emplear el principio de privilegio mínimo e implementar políticas de restricción de software u otros controles supervisar los accesos y el uso de usuarios autorizados.

• Considere utilizar un proceso de autenticación formalizado para las comunicaciones de empleado a empleado realizadas a través de la purple telefónica pública donde se united states of america un segundo variable para
autenticar la llamada telefónica antes de que se pueda discutir la información confidencial.

• Mejore la mensajería 2FA y OTP para reducir la confusión sobre los intentos de autenticación de los empleados.

• Verifique que los enlaces net no tengan errores ortográficos o contengan el dominio incorrecto.

• Marque la URL de la VPN corporativa correcta y no visite URL alternativas solo por una llamada telefónica entrante.

• Sospeche de las llamadas telefónicas, visitas o mensajes de correo electrónico no solicitados de personas desconocidas que afirman ser de una organización legítima. No proporcione información particular o información sobre su organización, incluida su estructura o redes, a menos que esté seguro de la autoridad de una persona para tener la información. Si es posible, intente verificar la identidad de la persona que llama directamente con la empresa.

• Si recibe una llamada vishing, documente el número de teléfono de la persona que llama, así como el dominio al que el actor intentó enviarle y transmita esta información a la policía.

• Limite la cantidad de información private que publica en sitios de redes sociales. Web es un recurso público solo publique información con la que se sienta cómodo que alguien vea.

• Evalúe su configuración: los sitios pueden cambiar sus opciones periódicamente, así que revise su configuración de seguridad y privacidad con regularidad para asegurarse de que sus opciones sigan siendo adecuadas.


Etiquetas: Bibox, Celcius.network, Dan Race, Farsight Stability, GitHub, GoDaddy, Namecheap, phishing, privateemail.com, Slack, vishing, Wirex.application

Esta entrada se publicó el sábado 21 de noviembre de 2020 a las 1:15 p.m. y está archivada bajo A Minimal Sunshine, Internet Fraud 2..
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puede saltar hasta el final y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia primary