Un grupo de estafadores logró engañar a algunos empleados de GoDaddy para redirigir el tráfico web y los correos electrónicos destinados a diversas plataformas de intercambio de criptomoneda. Esta es la compañía de registro de dominios más grande del mundo, por lo que este incidente traería consecuencias severas.
Acorde a los expertos de KrebsOnSecurity, el ataque se basó en engañar a los empleados de la compañía para que transfirieran el control de los dominios afectados a los actores de amenazas. Este es un ataque similar al que la compañía sufrió hace unos meses, cuando un grupo cibercriminal obtuvo el control de decenas de nombres de dominio empleando una estafa de phishing de voz. Por si fuera poco, este año GoDaddy reconoció que al menos 28 mil cuentas de hosting de sus clientes fueron comprometidas en 2019, incidente que pasó desapercibido hasta abril de 2020.
El más reciente ataque habría comenzado el 13 de noviembre o una fecha cercana, cuando se detectó una conducta anómala en la plataforma de intercambio de criptomonedas Liquid. Acode a Mike Kayamori, CEO de Liquid, un empleado desprevenido de GoDaddy transfirió el contra de su dominio web (liquid.com) a los actores de amenazas. Gracias a esto, los atacantes lograron cambiar los registros DNS y tomar el control de múltiples cuentas de correo electrónico pertenecientes a la plataforma de intercambio.
Esto se repitió con el servicio de minado de criptomoneda NiceHash, que detectó que algunas de las configuraciones de sus registros de dominio en GoDaddy fueron alteradas sin autorización, lo que generó la redirección del tráfico web de este sitio. Como medida de seguridad, la plataforma congeló todos los fondos de sus clientes por 24 horas: “Todo indica que no se accedió a los correos electrónicos y contraseñas de los usuarios, pero les sugerimos restablecer sus credenciales de acceso y habilitar la autenticación multi factor”, menciona un reporte sobre el incidente.
Matjaz Skorjanc, fundador de NiceHash, menciona que los cambios no autorizados fueron realizados desde una dirección web en GoDaddy y que los actores de amenazas trataron de acceder a los correos electrónicos entrantes de NiceHash para restablecer las contraseñas de varios servicios de terceros, incluyendo Slack y GitHub.
Aparentemente el servicio de correo electrónico de NiceHash fue redirigido a privateemail.com, una plataforma email administrada por Namecheap Inc, otra importante compañía de registro de nombres de dominio. Después de un rápido análisis, los especialistas de KrebsOnSecurity concluyeron que múltiples plataformas de criptomoneda podrían haber sufrido ataques similares, incluyendo Bibox.com, Celsuis.network y Wirex.app, aunque ninguna de estas compañías ha respondido a las solicitudes de información presentadas por los expertos.
Por fortuna GoDaddy sí respondió a los reportes, mencionando que “una pequeña cantidad de nombres de dominio habrán sido modificados después de que algunos empleados cayeran en una estafa de ingeniería social”. Sobre la falla general en el servicio ocurrida el 17 de noviembre, GoDaddy descartó cualquier relación entre ambos incidentes.
“Además, una auditoría de rutina en la actividad de algunas cuenta identificó posibles cambios no autorizados en una pequeña cantidad de dominios de clientes y/o información de la cuenta”, señala el comunicado de GoDaddy, firmado por el portavoz de la empresa Dan Race.
“Las cuentas involucradas en este incidente fueron bloqueadas de inmediato, además revertimos todos los cambios no autorizados y ayudamos a los clientes afectados a recuperar el control de sus dominios”, agregó Race. El mensaje de la compañía concluye recordando la sofisticación que caracteriza a algunos grupos de actores de amenazas, por lo que es fundamental que la industria refuerce sus defensas en todos sentidos, incluyendo el factor humano.
GoDaddy no agregó más detalles sobre la forma en la que sus empleados fueron engañados, pues la investigación sigue en curso. Los especialistas mencionan que todo habría comenzado con una llamada telefónica, lo que permitió a los actores de amenazas acceder a múltiples cuentas de empleados y eventualmente comprometer los dominios.
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.