Группа ShinyHunters связана с фишинговыми атаками на SSO-аккаунты Okta, Microsoft и Google
Группа кибервымогателей ShinyHunters использует голосовой фишинг (вишинг) для компрометации SSO-аккаунтов Okta, Microsoft и Google. Узнайте о методах атак и способах защиты.
Группа ShinyHunters заявила об ответственности за фишинговую кампанию против SSO-аккаунтов
Группа кибервымогателей ShinyHunters заявила о своей причастности к серии продолжающихся атак с использованием голосового фишинга (вишинга), направленных на аккаунты единого входа (SSO) у крупных провайдеров идентификации, включая Okta, Microsoft и Google. Эти атаки позволяют злоумышленникам компрометировать корпоративные SaaS-платформы, похищать конфиденциальные данные и требовать выкуп у пострадавших организаций.
Технические детали атаки
По данным отчётов, злоумышленники используют техники вишинга, чтобы обманом заставить сотрудников раскрыть учётные данные SSO. После получения этих данных злоумышленники получают несанкционированный доступ к корпоративным SaaS-приложениям, включая облачные хранилища, инструменты для совместной работы и внутренние базы данных. Группа ShinyHunters известна кражей данных и вымогательством, часто публикуя похищенную информацию на форумах даркнета, если требования о выкупе не выполняются.
Хотя точные методы первоначальной компрометации остаются неясными, многофакторная аутентификация (MFA), устойчивая к фишингу, и политики условного доступа являются критически важными мерами защиты от подобных атак. Исследователи в области безопасности подчёркивают, что учётные данные SSO являются высокоценными целями, так как они могут предоставить широкий доступ к нескольким корпоративным системам.
Последствия и риски для организаций
Успешные взломы SSO-аккаунтов могут привести к:
- Несанкционированному доступу к конфиденциальным корпоративным данным
- Латеральному перемещению в облачных средах
- Эксфильтрации данных и требованиям выкупа
- Репутационному ущербу и регуляторным штрафам
Учитывая высокий профиль атакуемых платформ (Okta, Microsoft, Google), организациям, использующим эти SSO-решения, следует предполагать повышенный риск и уделять первоочередное внимание проактивному обнаружению угроз и реагированию на них.
Рекомендуемые меры защиты
Командам безопасности рекомендуется:
- Внедрить MFA, устойчивую к фишингу (например, аппаратные ключи безопасности FIDO2) для всех SSO-аккаунтов.
- Мониторить подозрительные попытки входа, особенно с незнакомых устройств или местоположений.
- Реализовать политики условного доступа для ограничения доступа на основе факторов риска.
- Проводить регулярное обучение сотрудников по вопросам кибербезопасности, чтобы помочь им распознавать попытки вишинга и фишинга.
- Проверять и аудировать конфигурации SSO, чтобы обеспечить принцип минимальных привилегий.
Поскольку кампания остаётся активной, организациям следует сохранять бдительность и незамедлительно сообщать о подозрительной активности своим провайдерам идентификации и командам кибербезопасности.