El exchange de criptomonedas Coinbase ha informado de un reciente ciberataque dirigido a uno de sus empleados, que provocó el robo de credenciales de inicio de sesión dent la exposición de cierta información de contacto perteneciente a varios empleados. Sin embargo, los controles cibernéticos de la empresa impidieron que el atacante obtuviera acceso directo al sistema y no se comprometieron los datos ni los fondos de los clientes.
“Coinbase experimentó recientemente un ataque de ciberseguridad dirigido a uno de sus empleados. Afortunadamente, los controles cibernéticos de Coinbase impidieron que el atacante obtuviera acceso directo al sistema y evitaron la pérdida de fondos o el compromiso de la información del cliente. Solo se expuso una cantidad limitada de datos de nuestro directorio corporativo”.
Equipo Coinbase
Cómo ocurrió el ataque
Según Coinbase, el 5 de febrero, varios empleados recibieron mensajes SMS que indicaban que necesitaban iniciar sesión con urgencia para recibir un mensaje importante. Si bien la mayoría de los empleados ignoraron el mensaje, un empleado hizo clic en el enlace e ingresó su información de inicio de sesión, pensando que era un mensaje legítimo. El atacante, equipado con un nombre de usuario y una contraseña legítimos de empleado de Coinbase, hizo repetidos intentos de obtener acceso remoto a la empresa, pero no pudo proporcionar las credenciales de autenticación multifactor (MFA) requeridas, lo que dent su acceso.
Posteriormente, el atacante llamó al empleado y afirmó ser del departamento corporativo de Tecnología de la Información (TI) de Coinbase, buscando la ayuda del empleado. El empleado, creyendo que la persona que llamaba era un miembro legítimo del personal de TI de Coinbase, inició sesión en su estación de trabajo y siguió las instrucciones del atacante. Sin embargo, el empleado comenzó a sospechar cada vez más a medida que avanzaba la conversación y, en última instancia, las solicitudes se volvieron demasiado sospechosas.
Coinbase aseguró a sus clientes que no se comprometieron los fondos ni la información de los clientes, y que solo se expuso una cantidad limitada de datos del directorio corporativo. El dent destaca la importancia de tron controles cibernéticos y la concientización de los empleados para prevenir ataques cibernéticos exitosos.
Prevención de ciberataques
Coinbase compartió algunas tácticas, técnicas y procedimientos clave (TTP) que otras empresas de criptografía pueden usar para dent y defenderse de un ataque similar.
El TTP incluye el seguimiento del tráfico web desde los activos tecnológicos de la empresa a direcciones específicas, como sso-.com, -sso.com, login.-sso.com, dashboard-.com y *-dashboard.com. Además, monitorear las descargas o los intentos de descarga de visores de escritorio remotos específicos, incluidos AnyDesk e ISL Online, y cualquier intento de acceder a la organización desde un proveedor de VPN externo, específicamente Mullvad VPN, es vital, según Coinbase.
Además, Coinbase también compartió que las empresas de criptomonedas deben estar atentas a las llamadas telefónicas/mensajes de texto entrantes de proveedores específicos, incluidos Google Voice, Skype, Vonage/Nexmo y Bandwidth. También deben monitorear los intentos inesperados de instalar extensiones específicas del navegador, incluido EditThisCookie.
Según Will Thomas del Equinix Threat Analysis Center (ETAC), algunos dominios adicionales con temas de Coinbase, como sso-cbhq[.]com, sso-cb[.]com y coinbase[.]sso-cloud[.] com, posiblemente fueron utilizados en el ataque. Es fundamental saber que el modus operandi del atacante es similar al observado durante las campañas de phishing Scatter Swine/0ktapus del año pasado.
Group-IB, una empresa de ciberseguridad, también informó que el actor de amenazas robó casi 1000 inicios de sesión de acceso corporativo mediante el envío de enlaces de phishing a través de SMS a los empleados de la empresa.
