ShinyHunters, uma das gangues de ransomware mais ativas da atualidade, assumiu a autoria de uma onda de ataques de vishing que exploram falhas em sistemas de login único (SSO) de gigantes como Microsoft, Google e Okta. Esses ataques não apenas roubam dados sensíveis, mas também extorquem empresas ao acessar plataformas de software como serviço (SaaS).
Como os Ataques de Vishing Funcionam
Os cibercriminosos da ShinyHunters utilizam uma técnica sofisticada de vishing, na qual se passam por suporte de TI. Eles entram em contato com funcionários por telefone e os convencem a inserir credenciais e códigos de autenticação de dois fatores (2FA) em sites falsos. Esses portais imitam os logins corporativos, permitindo que os hackers acessem as contas das vítimas.
Uma vez dentro do sistema, os invasores exploram o SSO para se mover lateralmente pela rede da empresa. Isso ocorre porque o SSO conecta múltiplos aplicativos em um único fluxo de login, dando acesso a ferramentas críticas como Adobe, Atlassian, Dropbox, Google Workspace, Microsoft 365, Salesforce, SAP, Slack e Zendesk.
A Exploração do SSO e Seus Riscos
Serviços como Microsoft Entra e Okta facilitam o acesso a aplicativos de terceiros, mas também se tornam alvos atraentes para cibercriminosos. De acordo com um relatório da Okta, os kits de phishing usados pela ShinyHunters permitem a mudança dinâmica do site imitado, adaptando-se às informações fornecidas pela vítima durante a ligação. Isso aumenta significativamente as chances de sucesso do ataque.
Além disso, os hackers podem enviar notificações push falsas para guiar o usuário pelo processo de autenticação, tornando o golpe ainda mais convincente. Essa estratégia já foi usada para invadir sessões do Microsoft Entra e Google, embora ambas as empresas tenham se recusado a comentar os incidentes.
O Uso de Dados Roubados em Ataques Anteriores
A ShinyHunters não se limita a ataques isolados. O grupo afirma ter utilizado dados roubados em campanhas anteriores, como o ataque à Salesforce, para identificar e contatar funcionários em novas investidas. Além disso, o grupo reativou seu site na rede Tor para divulgar vazamentos recentes, que incluem empresas como SoundCloud, Betterment e Crunchbase.
Como as Empresas Podem se Proteger
Para mitigar esses riscos, as empresas devem adotar medidas como:
- Treinar funcionários para identificar tentativas de vishing e phishing.
- Implementar autenticação multifator (MFA) mais robusta, como chaves de segurança físicas.
- Monitorar atividades suspeitas em contas SSO e restringir acessos desnecessários.
- Atualizar constantemente os protocolos de segurança para evitar explorações de vulnerabilidades conhecidas.
Em conclusão, a ShinyHunters representa uma ameaça crescente para empresas que dependem de sistemas SSO. A combinação de vishing, kits de phishing avançados e o uso de dados roubados torna esses ataques particularmente perigosos. Portanto, a prevenção e a educação dos colaboradores são essenciais para evitar danos financeiros e de reputação.