En un alarmante incidente de ciberataque, un ataque de spear phishing al proveedor de software Retool ha puesto en peligro activos de criptomonedas por valor de $15 millones de dólares. El atacante manipuló los correos electrónicos y contraseñas de los usuarios en Retool, afectando a 27 cuentas, aunque los clientes de Retool en sus propias instalaciones no se vieron afectados por esta brecha.
Desentrañando el engañoso ataque de spear phishing
El 27 de agosto, Retool, una reconocida plataforma de software, fue objetivo de un sofisticado ataque de spear phishing. Este ataque resultó en acceso no autorizado para algunos de los clientes en la nube de Retool. El atacante ejecutó astutamente un ataque de phishing basado en SMS, haciéndose pasar por un miembro del equipo de TI de Retool ante los empleados.
El atacante utilizó un pretexto engañoso, alegando resolver un problema relacionado con los sistemas de nómina y la inscripción abierta, explotando así una preocupación crítica para los empleados: la cobertura de atención médica. El momento del ataque fue cuidadosamente planificado, coincidiendo con la migración de los inicios de sesión a Okta, y el mensaje contenía una URL que imitaba el portal interno de identidad de Retool.
El ataque de phishing: Un vistazo más cercano
Aunque la mayoría de los empleados no interactuaron con el texto fraudulento, un desafortunado empleado hizo clic en el enlace, lo que llevó a un portal falso con solicitudes de autenticación de múltiples factores (MFA). El atacante luego inició una llamada telefónica con el empleado, utilizando una voz deepfake para hacerse pasar por un miembro del equipo de TI de Retool. A pesar de las crecientes sospechas, el empleado compartió un código MFA adicional, lo que permitió al atacante agregar su dispositivo a la cuenta de Okta del empleado.
Esto proporcionó al atacante acceso a una sesión activa de GSuite. Curiosamente, Google había introducido recientemente una función que sincroniza los códigos MFA en la nube, lo que podría comprometer la seguridad. El atacante aprovechó esta vulnerabilidad, facilitada por los patrones oscuros de Google que promovían la sincronización de códigos MFA.
Las consecuencias del ataque
Las implicaciones de la brecha se extendieron a los sistemas internos de Retool, incluyendo VPN y sistemas administrativos, lo que permitió un ataque de toma de control de cuentas en clientes específicos, principalmente de la industria de las criptomonedas. En total, el atacante alteró los correos electrónicos de los usuarios y restableció las contraseñas, afectando a 27 cuentas.
Al descubrir la brecha, Retool actuó rápidamente. Revocó todas las sesiones de autenticación internas, aseguró las cuentas afectadas, notificó a los clientes afectados y restauró sus cuentas a su estado original. Cabe destacar que los clientes de Retool en sus propias instalaciones no se vieron afectados, ya que el sistema en las instalaciones funciona de manera independiente al entorno en la nube de Retool.
Retool confirmó que estaba colaborando activamente con las fuerzas del orden y una firma forense externa para investigar la brecha. Este incidente sirve como recordatorio de la importancia de la vigilancia constante y medidas de seguridad sólidas en el mundo digital, especialmente para aquellos involucrados en el sector de las criptomonedas. Para hacer un seguimiento de tus inversiones en criptomonedas y mantenerte actualizado sobre las últimas amenazas de ciberseguridad, considera utilizar aplicaciones como cryptoview.io.
texto de llamada a la acción
