ShinyHunters-Bande hinter SSO-Phishing-Angriffen auf Okta, Microsoft und Google

ShinyHunters übernimmt Verantwortung für SSO-Konto-Phishing-Kampagne

Die ShinyHunters-Erpresserbande hat die Verantwortung für eine Reihe von laufenden Voice-Phishing-(Vishing-)Angriffen übernommen, die auf Single-Sign-On-(SSO-)Konten bei großen Identitätsanbietern wie Okta, Microsoft und Google abzielen. Diese Angriffe ermöglichen es den Bedrohungsakteuren, Unternehmens-SaaS-Plattformen zu kompromittieren, sensible Daten zu exfiltrieren und Erpressungszahlungen von betroffenen Organisationen zu fordern.

Technische Details der Angriffskampagne

Laut Berichten setzen die Bedrohungsakteure Vishing-Techniken ein, um Mitarbeiter dazu zu bringen, ihre SSO-Zugangsdaten preiszugeben. Sobald diese erlangt sind, bieten sie unautorisierten Zugriff auf Unternehmens-SaaS-Anwendungen, einschließlich Cloud-Speicher, Kollaborationstools und internen Datenbanken. Die ShinyHunters-Gruppe ist bekannt für Datendiebstahl und Erpressung und veröffentlicht gestohlene Informationen oft in Dark-Web-Foren, falls Lösegeldforderungen nicht erfüllt werden.

Während die genauen Methoden der initialen Kompromittierung noch unklar sind, gelten phishing-resistente Multi-Faktor-Authentifizierung (MFA) und bedingte Zugriffsrichtlinien als entscheidende Abwehrmaßnahmen gegen solche Angriffe. Sicherheitsforscher betonen, dass SSO-Zugangsdaten hochwertige Ziele darstellen, da sie umfangreichen Zugriff auf mehrere Unternehmenssysteme gewähren können.

Auswirkungen und Risiken für Unternehmen

Erfolgreiche Kompromittierungen von SSO-Konten können zu folgenden Konsequenzen führen:

• Unautorisierter Zugriff auf sensible Unternehmensdaten
• Laterale Bewegung innerhalb von Cloud-Umgebungen
• Datenexfiltration und Erpressungsforderungen
• Reputationsschäden und regulatorische Strafen

Angesichts der hochkarätigen Natur der angegriffenen Plattformen (Okta, Microsoft, Google) sollten Organisationen, die diese SSO-Lösungen nutzen, von einem erhöhten Risiko ausgehen und proaktive Bedrohungserkennung und -reaktion priorisieren.

Empfohlene Schutzmaßnahmen

Sicherheitsteams wird empfohlen:

1. Phishing-resistente MFA (z. B. FIDO2-Sicherheitsschlüssel) für alle SSO-Konten durchzusetzen.
2. Anomale Anmeldeversuche zu überwachen, insbesondere von unbekannten Standorten oder Geräten.
3. Bedingte Zugriffsrichtlinien zu implementieren, um den Zugriff basierend auf Risikofaktoren einzuschränken.
4. Regelmäßige Schulungen zur Sensibilisierung für Sicherheit durchzuführen, um Mitarbeitern zu helfen, Vishing- und Phishing-Versuche zu erkennen.
5. SSO-Konfigurationen zu überprüfen und zu auditieren, um sicherzustellen, dass Zugriffskontrollen nach dem Prinzip der geringsten Privilegien umgesetzt sind.

Da die Kampagne weiterhin aktiv ist, sollten Organisationen wachsam bleiben und verdächtige Aktivitäten umgehend ihren Identitätsanbietern und Cybersicherheitsteams melden.