Ciberdelincuentes redirigieron el correo electrónico y tráfico web de varias plataformas de comercio de criptomonedas. Los ataques utilizaron técnicas de phishing telefónico dirigido a los empleados de GoDaddy , el registrador de nombres de dominio más grande del mundo.
La incursión en GoDaddy consistió en engañar a los empleados para que transfirieran la propiedad y/o el control de los dominios específicos a los ciberdelincuentes. No es el primer incidente que protagoniza el mayor registrador de dominios del mundo este fatídico 2020. Esta última campaña parece haber comenzado alrededor del 13 de noviembre, con un ataque a la plataforma de comercio de criptomonedas liquid.com, a la que le seguirían ataques a otras conocidas compañías.
El CEO de Liquid, Mike Kayamori escribía en una publicación en su blog corporativo, «El proveedor de dominios ‘GoDaddy’ que administra uno de nuestros nombres de dominio principales transfirió incorrectamente el control de la cuenta y el dominio a un ciberdelincuente. Esto le dio al ciberatacante la capacidad de cambiar los registros DNS y, a su vez, tomar el control de varias cuentas de correo electrónico internas. En un momento pudo comprometer parcialmente nuestra infraestructura y obtener acceso al almacenamiento de documentos«.
Como decimos, no es la primera vez que algo así sucede, ya en marzo, una campaña de phishing dirigida a los empleados de soporte de GoDaddy permitió a los atacantes asumir el control de al menos media docena de nombres de dominio, incluido el conocido sitio de comisiones de transacciones escrow.com.
En mayo de este año, GoDaddy reveló que 28,000 de las cuentas de alojamiento web de sus clientes se vieron comprometidas tras un incidente de seguridad en octubre de 2019 que no se descubrió hasta abril de 2020.
Según las inventigaciones de Brian Krebs, escritor de KrebsOnSecurity existe un marcado aumento en las grandes corporaciones que son blanco de sofisticadas estafas de phishing de voz o «vishing» . Los expertos dicen que el éxito de estas estafas se ha visto favorecido en gran medida por muchos empleados que trabajan de forma remota gracias a la pandemia de Coronavirus. Una estafa típica de ‘vishing’ comienza con una serie de llamadas telefónicas a los empleados que trabajan de forma remota en una organización específica. Los ‘phishers’ a menudo explican que están llamando desde el departamento de TI del empleador para ayudar a solucionar problemas con el correo electrónico de la empresa o la tecnología de redes privadas virtuales (VPN).
“Una pequeña cantidad de nombres de dominio de clientes se había modificado después de que una cantidad limitada de empleados de GoDaddy cayera en una estafa de ingeniería social«
GoDaddy
«En paralelo y sin relación con la interrupción sufrida, una auditoría de rutina en la actividad de las cuentas identificó posibles cambios no autorizados en una pequeña cantidad de dominios de clientes e información de la cuenta», dijo el portavoz de GoDaddy, Dan Race . “Nuestro equipo de seguridad investigó y confirmó la actividad de los ciberdelincuentes, incluida la ingeniería social de un número limitado de empleados de GoDaddy. «
«Inmediatamente bloqueamos las cuentas involucradas en este incidente, revertimos cualquier cambio que tuvo lugar en las cuentas y ayudamos a los clientes afectados a recuperar el acceso a sus cuentas», continuó la declaración oficial de GoDaddy. «Los ciberdelincuentes se vuelven cada vez más sofisticados y agresivos en sus ataques, educamos constantemente a los empleados sobre las nuevas tácticas que podrían usarse contra ellos y adoptamos nuevas medidas de seguridad para prevenir futuros ataques.»
Race se negó a especificar cómo se engañó a sus empleados para que hicieran cambios no autorizados, diciendo que el asunto aún estaba bajo investigación. Pero en los ataques a principios de este año que afectaron a escrow.com y varios otros dominios de clientes de GoDaddy , los ciberdelincuentes atacaron a los empleados por teléfono y pudieron leer notas internas que los empleados de GoDaddy habían dejado en las cuentas de los clientes.
Si quieres saber más sobre este incidente en el que están involucradas empresas como NiceHash, Bibox.com, Celsius.network, Wirex.app, Namecheap, privateemail, un largo número de implicados o victimas y saber cómo sucedió y las recomendaciones del FBI, sigue leyendo el artículo de KrebsOnSecurity.
Más información:
GoDaddy Employees Used in Attacks on Multiple Cryptocurrency Services https://krebsonsecurity.com/2020/11/godaddy-employees-used-in-attacks-on-multiple-cryptocurrency-services/
Voice Phishers Targeting Corporate VPNs https://krebsonsecurity.com/2020/08/voice-phishers-targeting-corporate-vpns/
GoDaddy Data Breach Affects 28,000 User Accounts https://securityboulevard.com/2020/05/godaddy-data-breach-affects-28000-user-accounts/
Security Incident on November 13, 2020 https://blog.liquid.com/security-incident-november-13-2020?=11172020
GoDaddy (all of it) went down this evening https://domainnamewire.com/2020/11/17/godaddy-is-down/
Muchos reportes hay en los dominios de GoDaddy, pero rara vez responde ante reportes en el email de abuse.
Hay ciertas entidades registradoras de dominios que prácticamente no responden cuando hay reportes de phishing. Ni tienen una acción activa para detectar dichos problemas.
Lamentablemente no hay mucho que se pueda hacer cuando las empresas no responden ante los reportes.