Subscribe to receive notifications of new posts:

Subscription confirmed. Thank you for subscribing!

Dinámicas de una estafa sofisticada de phishing y cómo la detuvimos

Loading...

The mechanics of a sophisticated phishing scam and how we stopped it

Ayer, 8 de agosto de 2022, Twilio anunció que había sido víctima de un ataque de phishing selectivo. Más o menos al mismo tiempo de ese ataque, observamos otro con características muy similares dirigido también a los empleados de Cloudflare. Si bien algunos empleados cayeron en la trampa de los mensajes de phishing, pudimos frenar el ataque con nuestro paquete de productos Cloudflare One, y a las claves de seguridad físicas que facilitamos a todos los empleados para que puedan acceder a todas nuestras aplicaciones.

Hemos confirmado que ningún sistema de Cloudflare se vio expuesto. Nuestro Cloudflare One, nuestro equipo de información sobre amenazas, pudo realizar un análisis adicional para examinar el mecanismo del ataque y recabar pruebas críticas para ayudar a localizar al ciberdelincuente.

Fue un ataque sofisticado contra empleados y sistemas de tal manera que creemos que la mayoría de las organizaciones podrían verse vulneradas. Puesto que el ciberdelincuente se dirige a varias organizaciones, queríamos compartir en esta publicación un resumen de lo que vimos exactamente para ayudar a otras empresas a reconocer y mitigar este ataque.

Smishing

El 20 de julio de 2022, empleados de Cloudflare informaron a nuestro equipo de seguridad sobre los mensajes de aspecto legítimo que estaban recibiendo y que apuntaban a lo que parecía ser una página de inicio de sesión de Cloudflare-Okta. Los mensajes comenzaron el 20 de julio de 2022 a las 22:50 horas (UTC). En el transcurso de menos de 1 minuto, al menos 76 empleados recibieron mensajes de texto en sus teléfonos móviles personales y corporativos. Los familiares de los empleados también recibieron algunos mensajes. Todavía no hemos podido averiguar cómo el ciberdelincuente recopiló la lista de números de teléfono de los empleados, pero hemos revisado los registros de acceso a nuestros servicios de directorio de empleados y no hemos encontrado ningún indicio de riesgo.

Cloudflare cuenta con un equipo de Respuesta a Incidentes de Seguridad (SIRT) que trabaja las 24 horas al día. Todos los empleados de Cloudflare saben que tienen que informar de cualquier evento sospechoso al SIRT. Más del 90 % de las denuncias al SIRT no son amenazas, pero se insta a los empleados a que informen de cualquier situación inusual y nunca se les disuade de enviar demasiadas denuncias. Sin embargo, en este caso, las denuncias eran una amenaza real.

Los mensajes de texto que recibieron los empleados tenían este aspecto:

Procedían de cuatro números de teléfono asociados a tarjetas SIM de T-Mobile: (754) 268-9387, (205) 946-7573, (754) 364-6683 y (561) 524-5989, y apuntaban a un dominio aparentemente oficial: cloudflare-okta.com. Ese dominio se registró a través de Porkbun, un registrador de dominios, el 20 de julio de 2022 a las 22:13:04 (hora UTC), menos de 40 minutos antes de que comenzara la campaña de phishing.

Cloudflare creó nuestro registrador seguro en parte para poder controlar cuándo se registraban dominios que utilizaban la marca Cloudflare y cerrarlos. Sin embargo, debido a que este dominio se había registrado recientemente, aún no se había publicado como un nuevo registro ".com", por lo que nuestros sistemas no detectaron su registro y nuestro equipo aún no lo había cerrado.

Si hiciste clic en el enlace, te llevó a una página de phishing, que estaba alojada en DigitalOcean y tenía el siguiente aspecto:

Cloudflare utiliza Okta como nuestro proveedor de identidad. La página de phishing estaba diseñada para parecer idéntica a una página legítima de inicio de sesión de Okta. La página de phishing solicitaba a cualquier visitante su nombre de usuario y contraseña.

Phishing en tiempo real

Pudimos analizar la carga útil del ataque de phishing basándonos en lo que recibieron nuestros usuarios, así como en el contenido que otras empresas víctimas habían publicado en servicios como VirusTotal. Cuando la víctima completaba los datos en la página de phishing, las credenciales se transmitían inmediatamente al atacante a través del servicio de mensajería Telegram. Esta transmisión en tiempo real era importante porque la página de phishing también solicitaba un código de contraseña de un solo uso de duración definida (TOTP).

Supuestamente, el ciberdelincuente recibía las credenciales en tiempo real, las escribía en la página de inicio de sesión auténtica de la empresa afectada y, en el caso de muchas organizaciones, eso generaba un código que se enviaba al empleado por SMS o se mostraba en un generador de contraseñas. A continuación, el empleado escribía el código TOTP en el sitio de phishing, y también se transmitía al atacante. Este podía entonces, antes de que el código TOTP caducara, utilizarlo para acceder a la página de inicio de sesión real de la empresa, anulando así la mayoría de las implementaciones de autenticación en dos fases.

Protección, aunque no sea perfecta

Confirmamos que tres empleados de Cloudflare cayeron en la trampa del mensaje de phishing y escribieron sus credenciales. Sin embargo, Cloudflare no utiliza códigos TOTP. En su lugar, cada usuario recibe una clave de seguridad compatible con FIDO2 de un proveedor como YubiKey. Dado que las claves de seguridad están vinculadas a los usuarios e implementan el enlace al origen, incluso una actividad de phishing sofisticada en tiempo real como esta no puede recopilar la información necesaria para iniciar sesión en cualquiera de nuestros sistemas. Aunque el ciberdelincuente intentó iniciar sesión en nuestros sistemas con las credenciales de nombre de usuario y contraseña en riesgo, no pudo superar el requisito de la clave de seguridad.

Sin embargo, esta página de phishing no buscaba simplemente credenciales y códigos TOTP. Si alguien lograba superar esas medidas, la página de phishing iniciaba la descarga de una carga útil de phishing que incluía el software de acceso remoto de AnyDesk. Ese software, si se instalaba, permitía al atacante controlar el equipo de la víctima de forma remota. Confirmamos que ninguno de los miembros de nuestro equipo llegó hasta ahí. Sin embargo, si lo hubieran hecho, nuestra seguridad de puntos finales habría detenido la instalación del software de acceso remoto.

¿Cómo respondimos?

Las principales acciones de respuesta que tomamos para este incidente fueron:

1. Bloquear el dominio de phishing mediante Cloudflare Gateway

Cloudflare Gateway es una solución de puerta de enlace web segura que salvaguarda los datos y protege frente a ataques con filtrado DNS/HTTP y Zero Trust integrado de forma nativa. Utilizamos esta solución internamente para identificar de manera proactiva los dominios maliciosos y bloquearlos. Nuestro equipo añadió el dominio malicioso a Cloudflare Gateway para bloquear el acceso de todos los empleados.

La detección automática de dominios maliciosos de Gateway también identificó el dominio y lo bloqueó, pero el hecho de que se registrara y se enviaran mensajes en un intervalo de tiempo tan corto significaba que el sistema no había actuado automáticamente antes de que algunos usuarios hicieran clic en los enlaces. A raíz de este incidente, estamos trabajando para acelerar la rapidez con la que se identifican y bloquean los dominios maliciosos. También estamos implementando controles sobre el acceso a los dominios recién registrados que ofrecemos a los clientes, pero que no implementamos nosotros.

2. Identificar a todos los usuarios de Cloudflare afectados y restablecer las credenciales en riesgo

Pudimos comparar los destinatarios de los mensajes de phishing con la actividad de inicio de sesión e identificar los intentos del ciberdelincuente de autenticarse en las cuentas de nuestros usuarios. Identificamos los intentos de inicio de sesión bloqueados debido a los requisitos de la clave de seguridad (U2F) que indicaban que se había utilizado la contraseña correcta, pero no se había podido verificar el segundo factor. Para los tres empleados cuyas credenciales se filtraron, restablecimos sus credenciales y cualquier sesión activa y analizamos sus dispositivos.

3. Identificar y eliminar la infraestructura del ciberdelincuente

El dominio de phishing del ciberdelincuente se había registrado hace poco a través de Porkbun y se alojaba en DigitalOcean. El dominio de phishing utilizado para atacar a Cloudflare se creó menos de una hora antes de la primera oleada de phishing. El sitio tenía un frontend Nuxt.js y un backend Django. Trabajamos con DigitalOcean para cerrar el servidor del ciberdelincuente. También trabajamos con Porkbun para hacernos con el control del dominio malicioso.

A partir de los intentos fallidos de inicio de sesión, pudimos comprobar que el ciberdelincuente estaba aprovechando el software de VPN Mullvad y utilizando específicamente el navegador Google Chrome en un equipo Windows 10. Las direcciones IP de la VPN utilizadas por el atacante eran 198.54.132.88 y 198.54.135.222. Esas direcciones IP están asignadas a Tzulo, un proveedor de servidores dedicados con sede en Estados Unidos cuyo sitio web afirma tener servidores en Los Ángeles y Chicago. En realidad, parece que el primero estaba funcionando en un servidor de la zona de Toronto y el segundo en un servidor de la zona de Washington, DC. Bloqueamos estas direcciones IP para que no pudieran acceder a ninguno de nuestros servicios.

4. Actualizar las detecciones para identificar cualquier intento de ataque posterior

Con lo que pudimos descubrir sobre este ataque, incorporamos señales adicionales a nuestras detecciones existentes para identificar específicamente a este ciberdelincuente. En el momento de escribir esta publicación, no hemos observado ninguna otra oleada de ataques dirigida a nuestros usuarios. Sin embargo, la información del servidor indicaba que el ciberdelincuente se dirigía a otras organizaciones, incluida Twilio. Nos pusimos en contacto con estas otras organizaciones y compartimos la información sobre el ataque.

5. Verificar los registros de acceso al servicio para detectar cualquier indicación adicional de ataque

Tras el ataque, revisamos todos los registros de nuestro sistema en busca de cualquier otra huella digital de este ciberdelincuente en particular. Cloudflare Access sirve como punto de control central para todas las aplicaciones de Cloudflare, de ahí que podamos buscar en los registros cualquier indicio de que el atacante haya vulnerado algún sistema. Dado que los teléfonos de los empleados fueron el objetivo, también revisamos minuciosamente los registros de nuestros proveedores de directorios de empleados. No hemos encontrado ninguna prueba de riesgo.

Lecciones aprendidas y medidas adicionales que estamos adoptando

Aprendemos de cada ataque. Si bien el ciberdelincuente no logró su objetivo, estamos haciendo ajustes adicionales con lo que hemos aprendido. Estamos ajustando la configuración de Cloudflare Gateway para restringir o bloquear el acceso a los sitios que se ejecutan en los dominios que se registraron en las últimas 24 horas. También ejecutaremos cualquier sitio no incluido en la lista de permitidos que contenga términos como "cloudflare" "okta" "sso" y "2fa" a través de nuestra tecnología de aislamiento del navegador. Además, estamos utilizando cada vez más la tecnología de identificación de phishing de Cloudflare Area 1 para analizar la web y buscar cualquier página que esté diseñada para atacar a Cloudflare. Por último, estamos reforzando nuestra implementación de Access para evitar cualquier inicio de sesión desde VPN, proxies domésticos y proveedores de infraestructura desconocidos. Todas estas son funciones estándar de los mismos productos que ofrecemos a los clientes.

El ataque también reafirmó la importancia de tres cosas que estamos haciendo bien. En primer lugar, solicitar claves de seguridad para el acceso a todas las aplicaciones. Al igual que Google, no hemos visto ningún ataque de phishing que se haya materializado con éxito desde la implantación de las claves de seguridad. Herramientas como Cloudflare Access han facilitado la compatibilidad con las claves de seguridad incluso en las aplicaciones heredadas. Si te interesa saber cómo hemos implantado las claves de seguridad, ponte en contacto con [email protected] y nuestro equipo de seguridad estará encantado de compartir las prácticas recomendadas que hemos aprendido durante el proceso.

En segundo lugar, utilizar nuestra propia tecnología para proteger a nuestros usuarios y sistemas. Las soluciones de Cloudflare One, como Access y Gateway, fueron fundamentales para anticiparnos al ataque. Configuramos nuestra implementación de Access para solicitar claves de seguridad para cada aplicación. También crea una ubicación de registro central para todas las autenticaciones de aplicaciones, y, en caso de ser necesario, un lugar desde el que podemos eliminar las sesiones de un usuario potencialmente en riesgo. Gateway nos permite cerrar rápidamente los sitios maliciosos como este y entender qué usuarios podrían haber caído en la trampa del ataque. Todas estas son funciones que ponemos a disposición de los clientes de Cloudflare como parte de nuestro conjunto de productos Cloudflare One, y este ataque demuestra lo eficaces que pueden ser.

En tercer lugar, la seguridad exige pecar de prudencia, pero no se trata de buscar culpables. No se amonestó a los tres empleados que cayeron en la estafa de phishing. Todos somos humanos y cometemos errores. Es muy importante que, cuando lo hagamos, denunciemos y no lo encubramos. Este incidente es otro ejemplo de por qué la seguridad es un trabajo conjunto de todos los miembros del equipo de Cloudflare.

Cronología detallada de los acontecimientos

2022-07-20 22:49 UTC El ciberdelincuente envía más de 100 SMS a los empleados de Cloudflare y sus familias.
2022-07-20 22:50 UTC Los empleados empiezan a informar de los mensajes SMS al equipo de seguridad de Cloudflare.
2022-07-20 22:52 UTC Se comprueba que el dominio del ciberdelincuente está bloqueado en Cloudflare Gateway para los dispositivos corporativos.
2022-07-20 22:58 UTC Comunicación de advertencia enviada a todos los empleados a través del chat y el correo electrónico.
2022-07-20 22:50 UTC ~
2022-07-20 23:26 UTC
Supervisión de la telemetría en el registro del sistema de Okta y los registros HTTP de Cloudflare Gateway para localizar las credenciales en riesgo. Eliminación de las sesiones de inicio de sesión y suspensión de las cuentas en riesgo.
2022-07-20 23:26 UTC El proveedor de alojamiento suspende el sitio de phishing.
2022-07-20 23:37 UTC Se restablecen las credenciales filtradas de los empleados.
2022-07-21 00:15 UTC Análisis exhaustivo de la infraestructura y capacidades del atacante.

Indicadores del riesgo

Valor Tipo Contexto y evaluación MITRE
cloudflare-okta[.]com alojado en 147[.]182[.]132[.]52 URL de Phishing T1566.002: Phishing: Enlace de phishing de objetivo definido enviado a los usuarios.
64547b7a4a9de8af79ff0eefadde2aed10c17f9d8f9a2465c0110c848d85317a SHA-256 T1219: Software de acceso remoto distribuido por el ciberdelincuente

¿Qué medidas puedes implementar?

Si eres blanco de ataques similares en tu entorno, no dudes en ponerte en contacto con [email protected], estaremos encantados de compartir las prácticas recomendadas sobre cómo mantener la seguridad de tu empresa. Por último, ¿te gustaría participar en la detección y mitigación de los próximos ataques? Estamos buscando gente para nuestro equipo de Detección y Respuesta ¡Únete a nuestro equipo!

Protegemos redes corporativas completas, ayudamos a los clientes a desarrollar aplicaciones web de forma eficiente, aceleramos cualquier sitio o aplicación web, prevenimos contra los ataques DDoS, mantenemos a raya a los hackers, y podemos ayudarte en tu recorrido hacia la seguridad Zero Trust.

Visita 1.1.1.1 desde cualquier dispositivo para empezar a utilizar nuestra aplicación gratuita y beneficiarte de una navegación más rápida y segura.

Para saber más sobre nuestra misión de ayudar a mejorar Internet, empieza aquí. Si estás buscando un nuevo rumbo profesional, consulta nuestras ofertas de empleo.

Seguridad Post Mortem (ES) Suplantación de identidad Cloudflare Gateway (ES) Cloudflare Access (ES)

Follow on Twitter

Matthew Prince |@eastdakota
Daniel Stinson-Diess |@shellcromancer
Cloudflare |Cloudflare

Related Posts

March 17, 2022 9:59AM

Cloudflare y CrowdStrike se asocian para ofrecer a los directores de seguridad de la información un control seguro de los dispositivos, las aplicaciones y las redes corporativas

Hoy, nos complace anunciar nuevas integraciones con CrowdStrike que combinan la eficacia de la red masiva y la plataforma Zero Trust de Cloudflare con las soluciones de detección y respuesta de puntos finales (EDR) e incidentes de CrowdStrike...