Retool acaba de revelar información crucial sobre un reciente incidente de hackeo que afectó a 27 cuentas de criptomonedas. En esta brecha, se robaron 15 millones de dólares en activos de Fortress Trust, empresa recién adquirida por Ripple, después de que el atacante se hiciera con el control explotando la función de sincronización en la nube de Google Authenticator.
Brecha de seguridad de Retool
En una reciente revelación, la empresa de desarrollo de software Retool informó sobre una preocupante brecha de seguridad que afectó a 27 de sus clientes en la nube. La brecha, derivada de un ataque de ingeniería social basado en SMS, ha suscitado una gran preocupación en el ámbito de la ciberseguridad.
Retool, con sede en San Francisco, apuntó a una función de sincronización en la nube de la cuenta de Google introducida en abril de 2023, considerándola un “patrón oscuro” que agravó la situación. Según Snir Kodesh, jefe de ingeniería de Retool, la sincronización de Google Authenticator con la nube surgió como un vector de ataque novedoso e inesperado.
Este hecho les pilló desprevenidos, ya que inicialmente habían implementado la autenticación multifactor, que, sin que lo supieran los administradores, se había transformado silenciosamente en autenticación de factor único debido a la actualización de Google.
Este alarmante incidente tuvo lugar el 27 de agosto de 2023 y, aunque no concedió acceso no autorizado a cuentas locales o gestionadas, se produjo al mismo tiempo que la migración de los inicios de sesión de Retool a Okta, un detalle clave en la historia.
Una mirada más de cerca al ciberataque
El ciberataque comenzó con un ataque de phishing por SMS dirigido directamente a los empleados de Retool. Los autores de la amenaza se hicieron pasar astutamente por miembros del equipo de TI y ordenaron a los destinatarios que hicieran clic en un enlace aparentemente legítimo para solucionar un problema ficticio relacionado con las nóminas. Trágicamente, un empleado cayó víctima de esta trampa de phishing, aterrizando en una página engañosa que le indujo a entregar sus credenciales de acceso.
Según el reciente comunicado, la situación tomó un tono más siniestro debido a que el empleado activó la función de sincronización en la nube de Google Authenticator. Esto concedió a los autores de la amenaza un acceso elevado a los sistemas de administración interna de Retool, lo que llevó a comprometer 27 cuentas de clientes. En un golpe devastador, uno de estos clientes, la recientemente adquirida Fortress Trust de Ripple, sufrió una asombrosa pérdida de casi 15 millones de dólares en criptomonedas.
En retrospectiva, este sofisticado ataque subraya la vulnerabilidad de sincronizar códigos de un solo uso en la nube, destacando la importancia de las claves de seguridad de hardware compatibles con FIDO2 para frustrar tales intentos de phishing.
Aunque la identidad de los hackers sigue siendo un misterio, sus tácticas se parecen mucho a las de Scattered Spider (alias UNC3944), un actor de amenazas con motivaciones financieras conocido por sus sofisticadas campañas de phishing.
Además, el uso de la tecnología deepfake y los medios sintéticos ha hecho saltar las alarmas en el gobierno de Estados Unidos, que ha advertido de su posible explotación en diversas actividades maliciosas, como los ataques de correo electrónico de empresa (BEC) y las estafas con criptomonedas. Este incidente es un claro recordatorio de la naturaleza cambiante y omnipresente de las ciberamenazas en el panorama digital actual.
