- Автор темы
- #1
Группировка ShinyHunters взяла на себя ответственность за масштабную волну фишинговых атак. Хакеры атакуют системы единого входа (SSO) Okta, Microsoft Entra и Google, нацеливаясь на корпоративные SaaS-платформы и данные компаний.
Злоумышленники используют социальную инженерию: звонят сотрудникам компаний, представляются ИТ-поддержкой и убеждают жертв ввести учетные данные и коды многофакторной аутентификации на фишинговых сайтах. Как только учетные данные попадают в руки хакеров, они получают доступ к SSO-аккаунту жертвы, а через него и ко всем подключенным корпоративным сервисам.
С SSO обычно связаны десятки сервисов: Salesforce, Microsoft 365, Google Workspace, Dropbox, Adobe, SAP, Slack, Zendesk, Atlassian и многие другие. В результате, скомпрометировав один аккаунт, атакующие получают полный набор инструментов для кражи данных из корпоративной экосистемы.
Специалисты Okta выпустили отчет, посвященный фишинговым инструментам, которые применяются в этих атаках. Однако компания не стала связывать эти атаки с деятельностью ShinyHunters.
По данным экспертов, хакеры используют веб-панели управления, позволяющие динамически менять содержимое фишингового сайта прямо во время телефонного разговора с жертвой. Злоумышленники пошагово «ведут» жертву в процессе авторизации: если система запрашивает подтверждение через push-уведомление, на экране жертвы тут же появляется соответствующая инструкция, если нужен TOTP-код — форма меняется снова.
В конце прошлой недели группировка ShinyHunters перезапустила свой Tor-сайт, предназначенный для «слива» данных, и опубликовала информацию о взломах SoundCloud, Betterment и Crunchbase.
Представители SoundCloud признали утечку данных примерно 20% пользовательской базы сервиса (около 28 млн человек) еще в декабре прошлого года.
Компания Betterment тоже подтвердила, что хакеры проникли в ее системы посредством социальной инженерии и использовали полученный доступ для рассылки криптовалютных скам-сообщений клиентам.
Crunchbase, которая ранее не сообщала об инциденте, подтвердила факт кибератаки после публикации данных на сайте ShinyHunters:
Специалисты ИБ-компании Hudson Rock сообщают, что изучили файлы Crunchbase, опубликованные злоумышленниками, и действительно обнаружили в дампе персональные данные, подписанные контракты и внутреннюю корпоративную информацию.
Представители хак-группы заявили СМИ, что используют данные, украденные во время предыдущих атак (включая массовые взломы Salesforce), чтобы находить и обзванивать сотрудников компаний. Украденная ранее информация содержит телефоны, должности, имена и другие детали, которые помогают злоумышленникам сделать атаки более убедительными.
Злоумышленники используют социальную инженерию: звонят сотрудникам компаний, представляются ИТ-поддержкой и убеждают жертв ввести учетные данные и коды многофакторной аутентификации на фишинговых сайтах. Как только учетные данные попадают в руки хакеров, они получают доступ к SSO-аккаунту жертвы, а через него и ко всем подключенным корпоративным сервисам.
С SSO обычно связаны десятки сервисов: Salesforce, Microsoft 365, Google Workspace, Dropbox, Adobe, SAP, Slack, Zendesk, Atlassian и многие другие. В результате, скомпрометировав один аккаунт, атакующие получают полный набор инструментов для кражи данных из корпоративной экосистемы.
Специалисты Okta выпустили отчет, посвященный фишинговым инструментам, которые применяются в этих атаках. Однако компания не стала связывать эти атаки с деятельностью ShinyHunters.
По данным экспертов, хакеры используют веб-панели управления, позволяющие динамически менять содержимое фишингового сайта прямо во время телефонного разговора с жертвой. Злоумышленники пошагово «ведут» жертву в процессе авторизации: если система запрашивает подтверждение через push-уведомление, на экране жертвы тут же появляется соответствующая инструкция, если нужен TOTP-код — форма меняется снова.
В конце прошлой недели группировка ShinyHunters перезапустила свой Tor-сайт, предназначенный для «слива» данных, и опубликовала информацию о взломах SoundCloud, Betterment и Crunchbase.
Представители SoundCloud признали утечку данных примерно 20% пользовательской базы сервиса (около 28 млн человек) еще в декабре прошлого года.
Компания Betterment тоже подтвердила, что хакеры проникли в ее системы посредством социальной инженерии и использовали полученный доступ для рассылки криптовалютных скам-сообщений клиентам.
Crunchbase, которая ранее не сообщала об инциденте, подтвердила факт кибератаки после публикации данных на сайте ShinyHunters:
На своем сайте хакеры утверждают, что похитили более 2 млн записей у Crunchbase, более 20 млн записей у Betterment и более 30 млн записей у SoundCloud. Все украденные данные якобы содержат персональную информацию пользователей.
Специалисты ИБ-компании Hudson Rock сообщают, что изучили файлы Crunchbase, опубликованные злоумышленниками, и действительно обнаружили в дампе персональные данные, подписанные контракты и внутреннюю корпоративную информацию.
Представители хак-группы заявили СМИ, что используют данные, украденные во время предыдущих атак (включая массовые взломы Salesforce), чтобы находить и обзванивать сотрудников компаний. Украденная ранее информация содержит телефоны, должности, имена и другие детали, которые помогают злоумышленникам сделать атаки более убедительными.