Funcionários GoDaddy usados ​​em ataques a vários serviços de criptomoeda

Os fraudadores redirecionaram o tráfego de e-mail e da web destinado a várias plataformas de negociação de criptomoedas na semana passada. Os ataques foram facilitados por golpes direcionados aos funcionários da GoDaddy , o maior registrador de nomes de domínio do mundo, descobriu a KrebsOnSecurity.

O incidente é a mais recente incursão da GoDaddy que confiava em enganar os funcionários para que transferissem a propriedade e / ou o controle dos domínios direcionados para os fraudadores. Em março, um esquema de phishing de voz direcionado aos funcionários de suporte do GoDaddy permitiu que os invasores assumissem o controle de pelo menos meia dúzia de nomes de domínio, incluindo o site de corretagem de transações escrow.com .

E em maio deste ano, GoDaddy divulgou que 28.000 das contas de hospedagem na web de seus clientes foram comprometidas após um incidente de segurança em outubro de 2019 que não foi descoberto até abril de 2020.

Esta última campanha parece ter começado por volta de 13 de novembro, com um ataque à plataforma de negociação de criptomoedas liquid.com .

“Um provedor de hospedagem de domínio ‘GoDaddy’ que gerencia um de nossos principais nomes de domínio transferiu incorretamente o controle da conta e do domínio para um ator malicioso”, disse o CEO da Liquid Mike Kayamori em um post de blog . “Isso deu ao ator a capacidade de alterar os registros DNS e, por sua vez, assumir o controle de várias contas de e-mail internas. No devido tempo, o agente malicioso foi capaz de comprometer parcialmente nossa infraestrutura e obter acesso ao armazenamento de documentos. ”

Nas primeiras horas da manhã de 18 de novembro, horário da Europa Central (CET), o serviço de mineração de ciptomoedas NiceHash descobriu que algumas das configurações de seus registros de registro de domínio no GoDaddy foram alteradas sem autorização, redirecionando brevemente o tráfego de e-mail e da web para o site. NiceHash congelou todos os fundos do cliente por aproximadamente 24 horas, até que foi capaz de verificar se as configurações do domínio foram alteradas para as configurações originais.

“No momento, parece que nenhum e-mail, senha ou qualquer dado pessoal foi acessado, mas sugerimos redefinir sua senha e ativar a segurança 2FA”, escreveu a empresa em um blog .

O fundador da NiceHash, Matjaz Skorjanc, disse que as alterações não autorizadas foram feitas de um endereço de Internet em GoDaddy, e que os invasores tentaram usar o acesso aos e-mails de NiceHash para realizar redefinições de senha em vários serviços de terceiros, incluindo Slack e Github . Mas ele disse que era impossível entrar em contato com o GoDaddy na época porque estava passando por uma indisponibilidade generalizada do sistema em que os sistemas de telefone e e-mail não respondiam .

“Detectamos isso quase imediatamente [e] começamos a mitigar [o] ataque”, disse Skorjanc por e-mail a este autor. “Felizmente, nós os lutamos bem e eles não obtiveram acesso a nenhum serviço importante. Nada foi roubado. ”

Skorjanc disse que o serviço de e-mail da NiceHash foi redirecionado para privateemail.com , uma plataforma de e-mail administrada pela Namecheap Inc. , outro grande registrador de nomes de domínio. Usando o Farsight Security , um serviço que mapeia alterações em registros de nomes de domínio ao longo do tempo, KrebsOnSecurity instruiu o serviço a mostrar todos os domínios registrados no GoDaddy que tiveram alterações em seus registros de e-mail na semana passada que os direcionaram para privateemail.com. Esses resultados foram então indexados com base no top um milhão de sites mais populares de acordo com Alexa.com.

O resultado mostra que várias outras plataformas de criptomoeda também podem ter sido visadas pelo mesmo grupo, incluindo Bibox.com , Celsius.network e Wirex.app . Nenhuma dessas empresas respondeu aos pedidos de comentários.

Em resposta a perguntas do KrebsOnSecurity, GoDaddy reconheceu que “um pequeno número” de nomes de domínio de cliente foi modificado depois que um número “limitado” de funcionários da GoDaddy caiu em um golpe de engenharia social. GoDaddy disse que a interrupção entre 19h e 23h PST em 17 de novembro não estava relacionada a um incidente de segurança, mas sim a um problema técnico que se materializou durante a manutenção planejada da rede.

“Nossa equipe de segurança investigou e confirmou a atividade do ator da ameaça, incluindo a engenharia social de um número limitado de funcionários da GoDaddy.

“Separadamente, e não relacionado à interrupção, uma auditoria de rotina da atividade da conta identificou possíveis alterações não autorizadas em um pequeno número de domínios do cliente e / ou informações da conta”, disse o porta-voz da GoDaddy Dan Race . “Nossa equipe de segurança investigou e confirmou a atividade do ator da ameaça, incluindo a engenharia social de um número limitado de funcionários da GoDaddy. ”

“Imediatamente bloqueamos as contas envolvidas neste incidente, revertemos todas as alterações que ocorreram nas contas e ajudamos os clientes afetados a recuperar o acesso às suas contas”, continua o comunicado de GoDaddy. “À medida que os agentes de ameaças se tornam cada vez mais sofisticados e agressivos em seus ataques, estamos constantemente educando os funcionários sobre novas táticas que podem ser usadas contra eles e adotando novas medidas de segurança para evitar ataques futuros.”

Race se recusou a especificar como seus funcionários foram enganados para fazer as alterações não autorizadas, dizendo que o assunto ainda estava sob investigação. Mas nos ataques no início deste ano que afetaram escrow.com e vários outros domínios de clientes GoDaddy , os agressores visaram funcionários por telefone e puderam ler notas internas que os funcionários GoDaddy tinham deixado nas contas dos clientes.

Além disso, o ataque a escrow.com redirecionou o site para um endereço da Internet na Malásia que hospedava menos de uma dúzia de outros domínios, incluindo o site de phishing servicenow-godaddy.com . Isso sugere que os invasores por trás do incidente de março – e possivelmente este último – conseguiram ligar para os funcionários da GoDaddy e convencê-los a usar suas credenciais de funcionários em uma página de login fraudulenta do GoDaddy.

Em agosto de 2020, o KrebsOnSecurity alertou sobre um aumento marcante de grandes corporações sendo alvo de phishing de voz sofisticado ou golpes de “vishing” . Os especialistas dizem que o sucesso desses golpes foi muito auxiliado por muitos funcionários que trabalham remotamente, graças à pandemia do Coronavirus em andamento.

Um golpe típico de vishing começa com uma série de telefonemas para funcionários que trabalham remotamente em uma organização visada. Os phishers geralmente explicam que estão ligando do departamento de TI do empregador para ajudar a solucionar problemas com o e-mail da empresa ou com a tecnologia de rede privada virtual (VPN).

O objetivo é convencer o alvo a divulgar suas credenciais por telefone ou inseri-las manualmente em um site criado pelos invasores que imita o e-mail corporativo ou portal VPN da organização.

Em 15 de julho, várias contas de alto nível no Twitter foram usadas para twittar um esquema de bitcoin que rendeu mais de US $ 100.000 em poucas horas . De acordo com o Twitter, esse ataque foi bem-sucedido porque os perpetradores conseguiram fazer a engenharia social de vários funcionários do Twitter por telefone para conceder acesso a ferramentas internas do Twitter.

Um alerta emitido em conjunto pelo FBI e pela Cybersecurity and Infrastructure Security Agency (CISA) diz que os perpetradores desses ataques de vishing compilam dossiês sobre os funcionários de suas empresas-alvo usando coleta em massa de perfis públicos em plataformas de mídia social, ferramentas de recrutamento e marketing, disponíveis publicamente serviços de verificação de antecedentes e pesquisa de código aberto.

O comunicado do FBI / CISA inclui uma série de sugestões que as empresas podem implementar para ajudar a mitigar a ameaça de ataques de vishing, incluindo:

• Restrinja as conexões VPN apenas aos dispositivos gerenciados, usando mecanismos como verificações de hardware ou certificados instalados, para que a entrada do usuário por si só não seja suficiente para acessar a VPN corporativa.

• Restringir as horas de acesso VPN, quando aplicável, para mitigar o acesso fora dos horários permitidos.

• Empregue o monitoramento de domínio para rastrear a criação ou alterações em domínios corporativos de nome de marca.

• Faça a varredura e monitore ativamente os aplicativos da web para acesso não autorizado, modificação e atividades anômalas.

• Empregar o princípio de privilégio mínimo e implementar políticas de restrição de software ou outros controles; monitorar acessos e uso de usuários autorizados.

• Considere o uso de um processo de autenticação formalizado para comunicações de funcionário a funcionário feitas pela rede telefônica pública, em que um segundo fator é usado para
autenticar a chamada antes que as informações confidenciais possam ser discutidas.

• Aprimore as mensagens 2FA e OTP para reduzir a confusão sobre as tentativas de autenticação de funcionários.

• Verifique se os links da web não contêm erros de ortografia ou contêm o domínio incorreto.

• Marque o URL VPN corporativo correto e não visite URLs alternativos apenas com base em uma chamada telefônica de entrada.

• Suspeite de ligações, visitas ou mensagens de e-mail não solicitadas de pessoas desconhecidas que alegam ser de uma organização legítima. Não forneça informações pessoais ou informações sobre sua organização, incluindo sua estrutura ou redes, a menos que você tenha certeza da autoridade de uma pessoa para ter as informações. Se possível, tente verificar a identidade do chamador diretamente com a empresa.

• Se você receber uma chamada de vishing, documente o número de telefone de quem ligou, bem como o domínio para o qual o ator tentou lhe enviar e transmita essas informações às autoridades.

• Limite a quantidade de informações pessoais que você publica em sites de redes sociais. A internet é um recurso público; poste apenas informações que você se sinta confortável com a visão de qualquer pessoa.

• Avalie suas configurações: os sites podem alterar suas opções periodicamente, portanto, analise suas configurações de segurança e privacidade regularmente para certificar-se de que suas escolhas ainda são adequadas.

Fonte: https://krebsonsecurity.com/2020/11/godaddy-employees-used-in-attacks-on-multiple-cryptocurrency-services/