In een alarmerend cyberaanvalincident heeft een spear phishingaanval op softwareleverancier Retool cryptocurrency-activa ter waarde van $15 miljoen in gevaar gebracht. De aanvaller heeft gebruikers-e-mails en -wachtwoorden op Retool gemanipuleerd, waardoor 27 accounts zijn getroffen. Retool’s on-premise klanten zijn echter niet getroffen door deze inbreuk.
Het Ontwarren van de Misleidende Spear Phishingaanval
Op 27 augustus werd Retool, een bekend softwareplatform, het doelwit van een goed georkestreerde spear phishingaanval. Deze aanval resulteerde in ongeoorloofde toegang voor sommige van Retool’s cloudklanten. De aanvaller voerde slim een SMS-gebaseerde phishingaanval uit en deed zich voor als een lid van het IT-team van Retool naar de medewerkers.
De aanvaller gebruikte een misleidend voorwendsel en beweerde een probleem met de loonsystemen en open inschrijving op te lossen, waarbij hij een kritieke zorg voor werknemers benutte – ziektekostenverzekering. De timing van de aanval was goed gepland en viel samen met de migratie van inloggegevens naar Okta. Het bericht bevatte een URL die de interne identiteitsportal van Retool imiteerde.
De Phishingaanval: Een Nader Kijken
Hoewel de meeste medewerkers niet hebben gereageerd op de frauduleuze tekst, heeft een ongelukkige medewerker op de link geklikt, wat leidde tot een nep-portal met aanvullende verificatie (MFA). De aanvaller heeft vervolgens telefonisch contact opgenomen met de medewerker en gebruikgemaakt van een deepfake-stem om zich voor te doen als een lid van het IT-team van Retool. Ondanks toenemende argwaan heeft de medewerker een extra MFA-code gedeeld, waardoor de aanvaller zijn apparaat aan het Okta-account van de medewerker kon toevoegen.
Dit gaf de aanvaller toegang tot een actieve GSuite-sessie. Interessant is dat Google onlangs een functie heeft geïntroduceerd die MFA-codes synchroniseert naar de cloud, wat de beveiliging kan compromitteren. De aanvaller heeft gebruikgemaakt van deze kwetsbaarheid, mogelijk gemaakt door de ‘dark patterns’ van Google die het synchroniseren van MFA-codes promoot.
De Nasleep van de Aanval
De implicaties van de inbreuk strekten zich uit tot de interne systemen van Retool, waaronder VPN en beheersystemen, waardoor een accountovertake-aanval mogelijk was op specifieke klanten, voornamelijk uit de crypto-industrie. In totaal heeft de aanvaller gebruikers-e-mails gewijzigd en wachtwoorden gereset, wat 27 accounts heeft getroffen.
Na de ontdekking van de inbreuk heeft Retool snel gehandeld. Het heeft alle interne geauthenticeerde sessies ingetrokken, getroffen accounts beveiligd, getroffen klanten op de hoogte gesteld en hun accounts hersteld naar hun oorspronkelijke staat. Het is vermeldenswaard dat de on-premise klanten van Retool niet zijn getroffen, omdat het on-premises systeem onafhankelijk opereert van de cloudomgeving van Retool.
Retool heeft bevestigd dat het actief samenwerkt met wetshandhavingsinstanties en een forensisch bedrijf van derden om de inbreuk te onderzoeken. Dit incident dient als een herinnering aan het belang van constante waakzaamheid en robuuste beveiligingsmaatregelen in de digitale wereld, vooral voor degenen die actief zijn in de cryptocurrencysector. Om uw crypto-investeringen bij te houden en op de hoogte te blijven van de nieuwste cybersecuritybedreigingen, kunt u overwegen om applicaties zoals cryptoview.io te gebruiken.
oproep tot actie tekst
