AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

## El grupo ShinyHunters intensifica ataques a SaaS mediante vishing y phishing avanzado para robar credenciales SSO y MFA

admin

### Introducción

En los últimos meses, el panorama de amenazas ha sido testigo de una actividad inusualmente sofisticada por parte del grupo de cibercriminales ShinyHunters. Según un reciente informe de Mandiant, la oleada de ataques dirigida a empresas que operan con soluciones SaaS está siendo impulsada por campañas de vishing y la creación de sitios de phishing personalizados que emulan a la perfección la imagen corporativa de las víctimas. El objetivo principal: la sustracción de credenciales SSO y códigos de autenticación multifactor (MFA), abriendo la puerta a accesos no autorizados y exfiltración masiva de datos empresariales sensibles.

### Contexto del Incidente

ShinyHunters es conocido por sus campañas de robo y filtración de datos, con antecedentes que incluyen ataques a grandes compañías tecnológicas y plataformas de servicios digitales. Su enfoque actual se centra en el ecosistema SaaS, aprovechando la creciente dependencia de las empresas en estas plataformas para operaciones críticas. Según Mandiant, desde el primer trimestre de 2024 se ha detectado un incremento del 35% en incidentes de robo de datos atribuidos a ShinyHunters, especialmente en sectores como servicios financieros, tecnología y consultoría.

La táctica predominante en esta campaña es la combinación de técnicas de ingeniería social avanzadas —en particular, el vishing dirigido a empleados con privilegios elevados— y la utilización de infraestructura de phishing altamente personalizada. El grupo logra así evadir controles tradicionales de seguridad y obtener acceso a sistemas protegidos por SSO y MFA.

### Detalles Técnicos

#### CVEs y vectores de ataque

Aunque los ataques no explotan vulnerabilidades específicas (no se han asociado CVEs concretos al vector inicial), sí aprovechan debilidades en la cadena humana y en la configuración de soluciones de autenticación. El esquema de ataque sigue el siguiente patrón:

1. **Reconocimiento**: Identificación de empleados clave a través de OSINT, redes sociales y repositorios públicos.
2. **Vishing**: Llamadas telefónicas dirigidas, en las que los atacantes se hacen pasar por técnicos de TI, solicitando a los usuarios que accedan a enlaces fraudulentos.
3. **Phishing personalizado**: Despliegue de sitios web que replican la imagen corporativa y las páginas de autenticación SSO (por ejemplo, Okta, Azure AD, Google Workspace), alojados en dominios typosquatted.
4. **Robo de MFA**: Uso de “adversary-in-the-middle” (AiTM) para interceptar códigos de MFA en tiempo real, mediante proxy reverso en frameworks como Evilginx2 y Modlishka.
5. **Exfiltración de datos**: Acceso a servicios SaaS (correo, almacenamiento, CRM) y descarga masiva de información confidencial.

#### TTPs y MITRE ATT&CK

Las técnicas observadas se alinean con las siguientes matrices de MITRE ATT&CK:

– **T1566.002 (Phishing: Spearphishing via Service)**
– **T1110.003 (Brute Force: Password Spraying)**
– **T1078 (Valid Accounts)**
– **T1556.004 (Modify Authentication Process: OAuth Tokens)**
– **T1114 (Email Collection)**
– **T1021.001 (Remote Services: Remote Desktop Protocol)**

#### Indicadores de compromiso (IoC)

– Dominios typosquatted imitando portales SSO empresariales
– Dirección IP de acceso anómala ligada a proxies y VPNs residenciales
– Logs de autenticación con patrones de MFA fallido/éxito en segundos
– User agents asociados a navegadores automatizados

### Impacto y Riesgos

El acceso ilícito a plataformas SaaS mediante SSO y MFA comprometidos permite a los atacantes moverse lateralmente y exfiltrar datos críticos, sin necesidad de explotar vulnerabilidades técnicas. Entre los riesgos concretos destacan:

– **Pérdida de propiedad intelectual y datos personales**: Incumplimiento de GDPR y posibles sanciones de hasta el 4% de la facturación global anual.
– **Interrupción operativa**: Bloqueo de cuentas, borrado de datos o manipulación de flujos de trabajo críticos.
– **Daño reputacional**: Filtración de datos sensibles en foros clandestinos y venta en mercados de la dark web.

Según estimaciones de Mandiant, el coste medio de respuesta y contención para incidentes de este tipo supera los 500.000 euros en empresas medianas.

### Medidas de Mitigación y Recomendaciones

– **Implementar MFA resistente a phishing**: Preferentemente con FIDO2/WebAuthn (llaves de hardware), en lugar de OTP por SMS o aplicaciones móviles.
– **Monitorización avanzada de autenticación**: Alertas de acceso desde ubicaciones y dispositivos inusuales.
– **Bloqueo de dominios typosquatted**: Uso de servicios de detección de homógrafos y vigilancia de marcas.
– **Formación continua en ingeniería social**: Simulacros de vishing y campañas de concienciación periódicas.
– **Revisión de logs y respuesta proactiva**: Integración de SIEM y playbooks específicos para ataques AiTM.

### Opinión de Expertos

Especialistas en ciberseguridad, como los analistas de Mandiant y responsables de CERT, destacan la sofisticación alcanzada por ShinyHunters, subrayando que “la defensa perimetral clásica resulta insuficiente frente al abuso de la cadena de confianza humana y la manipulación de flujos de autenticación”. Recomiendan una aproximación Zero Trust, donde la validación continua y el análisis de contexto sean pilares fundamentales.

### Implicaciones para Empresas y Usuarios

La expansión del trabajo remoto y la adopción masiva de SaaS aumentan la superficie de ataque y la dependencia de mecanismos de autenticación robustos. Las empresas deben revisar sus políticas de acceso, actualizar sus controles técnicos y fortalecer la formación de empleados para reducir la exposición al vishing y el phishing dirigido. Además, la inminente entrada en vigor de NIS2 eleva las exigencias regulatorias en materia de protección de datos y resiliencia operacional.

### Conclusiones

La campaña de ShinyHunters pone de manifiesto la evolución de las amenazas orientadas al robo de identidades y acceso a plataformas SaaS. Solo mediante una combinación de tecnología avanzada, vigilancia continua y capacitación del factor humano podrán las organizaciones mitigar eficazmente estos riesgos emergentes.

(Fuente: www.bleepingcomputer.com)