I et alarmerende cyberangreb er et spear phishing-angreb på softwareudbyderen Retool blevet sat i fare for cryptocurrency-aktiver til en værdi af $15 millioner. Angriberen manipulerede bruger-e-mails og adgangskoder på Retool og påvirkede 27 konti, selvom Retools on-premise kunder ikke blev påvirket af dette brud.
Afdækning af det bedrageriske spear phishing-angreb
Den 27. august blev Retool, en kendt softwareplatform, målrettet af et velorkestreret spear phishing-angreb. Dette angreb resulterede i uautoriseret adgang for nogle af Retools skykunder. Angriberen udførte på en snedig måde et SMS-baseret phishing-angreb og udgav sig for at være medlem af IT-teamet til Retools medarbejdere.
Angriberen brugte en bedragerisk forklædning og hævdede at løse et problem relateret til lønsystemer og åbent valg, og udnyttede dermed en kritisk bekymring for medarbejderne – sundhedsforsikring. Timing af angrebet var godt planlagt og faldt sammen med overførslen af logins til Okta, og beskeden indeholdt en URL, der efterlignede Retools interne identitetsportal.
Phishing-angrebet: En nærmere undersøgelse
Selvom de fleste medarbejdere ikke interagerede med den falske tekst, klikkede en uheldig medarbejder på linket, hvilket førte til en falsk portal med prompter til flerfaktor-autentificering (MFA). Angriberen initierede derefter et telefonopkald med medarbejderen og brugte en deepfake-stemme til at udgive sig for at være et medlem af Retools IT-team. Medarbejderen delte, til trods for voksende mistanke, en yderligere MFA-kode, hvilket tillod angriberen at tilføje deres enhed til medarbejderens Okta-konto.
Dette gav angriberen adgang til en aktiv GSuite-session. Interessant nok havde Google for nylig introduceret en funktion, der synkroniserer MFA-koder til skyen, hvilket kan kompromittere sikkerheden. Angriberen udnyttede denne sårbarhed, der blev muliggjort af Googles mørke mønstre, der fremmer synkronisering af MFA-koder.
Eftervirkningerne af angrebet
Brudets konsekvenser strakte sig til Retools interne systemer, herunder VPN og administrationsystemer, hvilket muliggjorde et overtagelsesangreb på specifikke kunder, primært fra kryptoindustrien. I alt ændrede angriberen bruger-e-mails og nulstillede adgangskoder, hvilket påvirkede 27 konti.
Efter at have opdaget bruddet handlede Retool hurtigt. De tilbagekaldte alle interne godkendte sessioner, sikrede berørte konti, informerede berørte kunder og gendannede deres konti til deres oprindelige tilstand. Det er værd at bemærke, at Retools on-premise kunder forblev upåvirkede, da det on-premise system fungerer uafhængigt af Retools sky-miljø.
Retool bekræftede, at de aktivt samarbejdede med retshåndhævelse og et tredjeparts forensics-firma for at undersøge bruddet. Dette incident tjener som en påmindelse om vigtigheden af konstant årvågenhed og robuste sikkerhedsforanstaltninger i den digitale verden, især for dem, der er involveret i kryptosektoren. For at holde styr på dine kryptoinvesteringer og holde dig opdateret om de nyeste cybertrusler, kan du overveje at bruge applikationer som cryptoview.io.
Start nu med at bruge vores værktøjer gratis.
