GoDaddy, la empresa de dominios webs más grande del mundo, sufrió un ataque de phishing de voz e ingeniería social que engañó a sus empleados para transferir el control de al menos 6 dominios de empresas de criptomonedas.
Según un informe publicado recientemente por la compañía de seguridad Krebs on Security, GoDaddy, la compañía proveedora de dominios webs más grande del mundo, fue víctima de un ataque de ingeniería social, similar al que vivió Twitter unos meses atrás.
Durante el ataque, los empleados de GoDaddy fueron engañados para transferir el dominio de varias empresas de servicios con criptomonedas, entre ellas Liquid.com, una plataforma de comercio con criptomonedas y NiceHash, una compañía dedicada a la minería de criptomonedas. Para el momento de la publicación de Krebs on Security, ambas compañías habían confirmado el ataque, aunque se estima que fueron al menos unas 6 empresas las que se vieron afectadas por esta estafa.
Por el momento, ninguna de las compañías afectadas, y que se presumen afectadas, han reportado la pérdida de fondos, más el ataque sí permitió a los estafadores acceder a cuentas de correo internas, documentos privados, y más. Según informa la compañía de seguridad, esta es la segunda vez que los empleados de GoDaddy son víctimas de un ataque de ingeniería social y de phishing de voz, ya que en marzo, transfirieron el control de al menos una media docena de nombres de dominio, al ser engañados por los atacantes. Para ese momento, el sitio de corretaje de transacciones Escrow.com se vio afectado por el ataque.
Te puede interesar: Hackeo masivo en Twitter: Más de 20 cuentas de importantes compañías y empresarios de criptomonedas fueron hackeadas
Acceso de administrador a GoDaddy
La ingeniería social es un ataque sigiloso y muy cuidadoso que permite manipular a empleados legítimos de una compañía para que cedan información confidencial, confiando en que la persona con la que interactúan también es legítima. Mediante esta técnica, los atacantes buscan obtener información confidencial que les permita acceder a ciertos sistemas para causar algún daño, como en el caso de Twitter hace algunos meses atrás, donde los atacantes accedieron a las más de 120 cuentas para promover una estafa con criptomonedas.
Ahora, en el ataque a GoDaddy, las víctimas confirmaron cambios y accesos no autorizados en sus plataformas, cuyos registros muestran que se realizaron desde direcciones en Internet de GoDaddy. La compañía de dominios confirmó la situación afirmando que su equipo de seguridad se percató del ataque y comenzó a trabajar para restaurar los servicios de sus clientes de manera inmediata.
“Nuestro equipo de seguridad investigó y confirmó la actividad de los actores de amenazas, incluida la ingeniería social de un número limitado de empleados de GoDaddy… Inmediatamente bloqueamos las cuentas involucradas en este incidente, revertimos cualquier cambio que tuvo lugar en las cuentas y ayudamos a los clientes afectados a recuperar el acceso a sus cuentas”.
El portavoz de GoDaddy, Dan Race, afirmó para Krebs on Security, que fue una pequeña cantidad de dominios de clientes los que se vieron afectados, aunque no confirmó el número de estos. Así mismo, Race aseguró que la interrupción de servicios que se presentó en GoDaddy el 17 de noviembre no está relacionada con el ataque de ingeniería social a sus empleados.
Afectaciones del ataque
Aunque ambas compañías reportaron las consecuencias del incidente, y aseguraron que no parece existir una amenaza inmediata sobre sus clientes y usuarios, recomiendan una serie de medidas adicionales de seguridad para protegerse ante posibles ataques phishing, que pueden llegar directamente a sus direcciones de correo, ya que los atacantes pueden estar manejando información personal.
Liquid.com, acceso a datos confidenciales
En Liquid.com, su CEO Mike Kayamori, publicó un informe para notificar a sus clientes y usuarios sobre las afectaciones del ataque de ingeniería social a GoDaddy, donde detalló que el incidente provocó una violación de seguridad a los servicios de Liquid.com. Esta compañía maneja más de 275 millones de dólares en volumen de operaciones diarias.
Según Kayamori, el atacante logró acceder como administrador de la plataforma, cambiando los registros DNS y, a su vez, tomando el control de varias cuentas de correo electrónico internas. Así mismo, el atacante pudo comprometer parcialmente la infraestructura de Liquid.com, y obtuvo acceso al almacenamiento de documentos confidenciales. Por lo que hace una llamada a sus clientes a permanecer alertas ante información sospechosa que pueda llegarles vía correo electrónico, u otro medio, ya que los atacantes posiblemente comprometieron datos personales, como correos electrónicos, nombres y direcciones. Así mismo, las contraseñas cifradas de los clientes parece que también se vieron afectadas, por lo que recomienda que todos los clientes de Liquid cambien su contraseña y sus credenciales 2FA lo antes posible.
No obstante, el equipo de la plataforma logró identificar y contener el ataque, retomando el control sobre el dominio afectado e implementó medidas de seguridad adicionales para proteger las cuentas y los activos de los clientes.
Kayamori asegura que los fondos de los clientes y usuarios se contabilizaron y permanecen seguros y protegidos, y que las wallets y monederos de criptomonedas de almacenamiento en frío, y las basadas en MPC, también están protegidas y no se vieron comprometidas durante el ataque.
NiceHash, sin acceso a su dominio
El equipo de NiceHash publicó un informe donde señaló que durante el ataque, y un fallo técnico que sufrió GoDaddy, que aunque no está relacionado con el ataque, si le impidió acceder a su dominio de NiceHash en la plataforma. Además, descubrió que algunas de las configuraciones para sus registros en el dominio en GoDaddy se cambiaron sin autorización.
Al percatarse de la situación, NiceHash decidió congelar todos los fondos de los usuarios y sus wallets, como medida de seguridad para proteger a sus usuarios. Para el momento del comunicado, NiceHash informó que mantendría congelada toda la actividad en las wallets y los retiros por un período de 24 horas, hasta resolver la situación.
Unas horas más tarde, Nicehash aseguró que los sistemas estaban completamente operativos y en linea, pero que los retiros se mantendrían suspendidos por un tiempo más hasta que se realizar una auditoría interna completa y se comprobara que todos los fondos estaban intactos. A diferencia de Liquid.com, NiceHash afirma que no se accedió a correos electrónicos, contraseñas o datos personales de los usuarios, pero igual sugiere que estos restablezcan sus contraseñas de acceso y activen la seguridad 2FA.
Así mismo, el CEO de NiceHash, Matjaz Skorjanc, declaró en un correo enviado a Krebs on Security que los atacantes intentaron utilizar su acceso a sus correos electrónicos de NiceHash para restablecer contraseñas en varios servicios de terceros, incluidos Slack y Github, pero que el fallo técnico que presentó GoDaddy para el momento del ataque les impidió hacerlo por falta de comunicación con el proveedor de servicios.
Un aumento preocupante de este tipo de ataques
La empresa de seguridad Krebs on Security publicó un reporte en agosto indicando que la situación actual que se vive a causa de la pandemia, y que obliga a muchos empleados de compañías a trabajar de forma remota desde sus casas, está permitiendo que este tipo de ataques se realice en mayor número y con mayor éxito.
Los ataques de phishing de voz comienzan cuando el atacante se comunica vía telefónica con un empleado de una compañía, suplantando la identidad de otro empleado o haciendose pasar por un nuevo empleado, para convencer a su víctima de que la llamada se realiza desde el departamento de TI de la compañía, y que requiere su ayuda para solucionar problemas relacionados con el correo electrónico de la empresa o con las VPN. Cuando el atacante convence al empleado de que habla con una persona “legítima”, le solicita la entrega de sus credenciales, ya sea vía telefónica o ingresándolas manualmente en un sitio web falso creado por el atacante, que imita a la perfección el correo electrónico o el portal VPN de la compañía. Así, si los empleados deben ingresar un código de un solo uso, el sitio falso también solicitará este código, para no levantar sospechas.
Hackers buscan monetización más directa y agresiva
El director de inteligencia de amenazas de ZeroFOX, Zack Allen, asegura que los ataques de phishing de voz están evolucionando hacia una forma de monetización más directa y agresiva, dejando un poco de lado la venta de cuentas en la darknet. Según el experto, los atacantes podrían estar consiguiendo aliados dentro de las compañías, o practicando sus estafas constantemente para ejecutar ataques más efectivos, capaces de generar miles de dólares en pocas horas.
Por otra parte, la directora de investigación de la firma de investigaciones cibernéticas Unit 221B de Nueva York, Allison Nixon, aseguró que los atacantes están buscando obtener el mayor acceso posible a las herramientas de una compañía para tomar el control sobre los activos digitales que pueden convertirse rápidamente en efectivo. Nixon asegura que los ataques de phishing de voz ahora se están dirigiendo principalmente a las redes sociales, como el caso de Twitter, y a las cuentas de correo electrónico y dominios de empresas con instrumentos financieros asociados, como cuentas bancarias y criptomonedas.
Para mitigar la frecuencia alarmante con la que están ocurriendo este tipo de ataques, los expertos en seguridad invitan a las empresas y compañías a concienciar y formar a sus empleados sobre la importancia de la seguridad de sus operaciones, y a realizar pruebas de ataques simulados para comprobar periódicamente la capacidad de respuesta y detección de ataques de su personal. Los empleados que no cumplan con las pruebas deben someterse a formaciones adicionales para evitar el riesgo de ser víctimas de ingeniería social.
Continúa leyendo: El equipo de Ledger advierte sobre un posible ataque phishing en curso