O ataque só foi impedido devido ao uso de hard keys, e a empresa alerta que os cibercriminosos responsáveis vão mirar em outras organizações
A Cloudflare, provedora de serviços em nuvem, detalhou recentemente o que foi descrito como um “ataque de phishing direcionado” contra sua equipe – que só foi impedido de causar danos significativos à organização porque todos os funcionários são obrigados a usar autenticação multifator (MFA) na forma de chaves de segurança físicas para acessar seus aplicativos.
Assim, mesmo com os nomes de usuário e senhas corretos, os invasores não podiam acessar as contas e nenhum sistema foi comprometido.
De acordo com pesquisadores de segurança cibernética da Cloudflare, foi um ataque sofisticado, direcionado a funcionários e sistemas: “de tal forma que acreditamos que a maioria das organizações provavelmente seria violada”.
A Cloudflare detalhou o ocorrido porque acreditam que o cibercriminoso ainda está visando várias organizações e pode fazer novas vítimas.
O incidente na Cloudflare
O incidente começou em 20 de julho, quando pelo menos 76 funcionários da Cloudflare receberam mensagens de phishing em seus telefones corporativos ou pessoais apontando para o que parecia ser a página de login Okta da Cloudflare. Estranhamente, algumas das mensagens de phishing também foram enviadas para familiares de alguns dos funcionários.
Não se sabe como o invasor conseguiu os números de telefone, mas as mensagens – todas enviadas em menos de um minuto – alegaram que “sua programação do Cloudflare foi atualizada”. Além disso, instruíram os alvos a clicar em um link oficial do Okta para Cloudflare, que pedia a qualquer pessoa que o visitasse para inserir seu nome de usuário e senha. Se alguém que clicou no link fez isso, passou seu nome de usuário e senha para os invasores.
De acordo com a Cloudflare, três funcionários que receberam a mensagem de phishing inseriram suas credenciais. No entanto, os invasores não puderam fazer nada com os detalhes de login roubados devido à exigência da Cloudflare de que os funcionários usem uma chave de hardware ao entrar.
Havia também um elemento adicional de mensagens de phishing projetadas para baixar software de acesso remoto na máquina da vítima, o que permitiria que o invasor o controlasse remotamente. No entanto, a Cloudflare diz que nenhuma das vítimas da empresa chegou a esse estágio e seus sistemas de segurança de endpoint impediriam a instalação de software não-autorizado.
Após detectar o ataque, a Cloudflare bloqueou o domínio de phishing para impedir que os funcionários pudessem acessá-lo.
A empresa também identificou os funcionários que receberam as mensagens de texto de phishing e seguiram o link para inserir suas credenciais. Esses funcionários tiveram suas senhas redefinidas e foram desconectados de todas as sessões ativas para evitar qualquer acesso não-autorizado.
A Cloudflare também agiu rapidamente para derrubar o domínio usado nos ataques de phishing – configurado menos de uma hora antes do início da campanha. A empresa também usou o incidente para incorporar mecanismos de detecção adicionais em suas defesas para ajudar a identificar quaisquer campanhas futuras dos mesmos invasores – essas informações também foram compartilhadas com outras organizações visadas.
O que a Cloudflare gostaria que outras empresas soubessem
Embora o ataque de phishing tenha sido impedido com sucesso, a Cloudflare diz que ainda há lições que podem ser aprendidas com o incidente, incluindo por exemplo “ter uma cultura ‘paranoica’, mas livre de culpa, é fundamental para a segurança”.
A empresa também diz que o incidente demonstra o quão eficaz é o uso de chaves físicas para proteger pessoas e redes, porque apesar de os invasores obterem acesso a credenciais de login legítimas, a falta de uma chave significava faz com que não possam explor. “Não vimos nenhum ataque de phishing bem-sucedido desde a implantação das hard keys”, disse a Cloudflare.
Os pesquisadores sugerem que aqueles por trás dessa campanha ainda podem estar por aí, tentando atingir outras pessoas – e a Cloudflare espera que, ao compartilhar o que aconteceu, ajude outras vítimas a se protegerem de ataques.
Mantenha sua empresa protegida. Conheça as soluções de segurança da Compugraf e saiba como podemos te ajudar!