Multi-License Discount Quote
Base de Datos de Amenazas Phishing Ataques de phishing de Gitlocker

Ataques de phishing de Gitlocker

Por Mezo en Phishing
Traducir a:
Español

En el panorama cambiante de las amenazas a la ciberseguridad, ha surgido una nueva campaña de ataque a Gitlocker, dirigida a los repositorios de GitHub. Esta operación implica que actores maliciosos comprometan cuentas, borren el contenido del repositorio y exijan a las víctimas que se comuniquen con ellos a través de Telegram para obtener más instrucciones. Este artículo profundiza en los detalles de esta campaña, su modus operandi y las medidas de seguridad recomendadas para protegerse contra tales ataques.

Modo operativo de ataque

Los atacantes de la campaña Gitlocker se dirigen específicamente a los repositorios de GitHub. Una vez que obtienen acceso a un repositorio, proceden a borrar su contenido. Luego, los atacantes cambian el nombre del repositorio y dejan un archivo README.me con una nota de rescate, indicando a las víctimas que se comuniquen con ellos a través de Telegram.

Credenciales robadas

El actor de amenazas detrás de esta campaña, que opera bajo el nombre de Gitloker en Telegram, parece obtener acceso a cuentas de GitHub utilizando credenciales robadas. Haciéndose pasar por analistas de incidentes cibernéticos, afirman haber realizado una copia de seguridad de los datos comprometidos y se ofrecen a ayudar a restaurarlos. El texto completo de la nota de rescate dice:
'Espero que este mensaje te encuentre bien. Este es un aviso urgente para informarle que sus datos se han visto comprometidos y que hemos obtenido una copia de seguridad.'

Respuesta y recomendaciones

Tras ataques anteriores, GitHub recomendó a los usuarios que cambiaran sus contraseñas para proteger sus cuentas contra el acceso no autorizado. Esta acción es crucial para evitar actividades maliciosas como la adición de nuevas claves SSH, la autorización de nuevas aplicaciones o la modificación de miembros del equipo.

Medidas de seguridad mejoradas

Para evitar mayores compromisos y detectar actividades sospechosas, se recomienda a los usuarios que implementen las siguientes medidas de seguridad:

  • Habilite la autenticación de dos factores (2FA) : agrega una capa adicional de seguridad al proceso de inicio de sesión.
  • Agregue una clave de acceso : para iniciar sesión de forma segura y sin contraseña.
  • Revisar y revocar el acceso no autorizado : verifique y administre periódicamente claves SSH, claves de implementación e integraciones autorizadas.
  • Verificar direcciones de correo electrónico : asegúrese de que todas las direcciones de correo electrónico asociadas sean correctas y seguras.
  • Revise los registros de seguridad de la cuenta : realice un seguimiento de los cambios en el repositorio para identificar cualquier modificación no autorizada.
  • Administrar webhooks : audite y administre webhooks periódicamente en los repositorios.
  • Verifique si hay nuevas claves de implementación : revoque cualquier clave de implementación nueva o no autorizada.
  • Revise las confirmaciones y colaboradores recientes : asegúrese de que todos los cambios y contribuyentes recientes sean legítimos.

    • Contexto histórico de los compromisos de GitHub

    El ataque a Gitlocker no es un incidente aislado. Las cuentas de GitHub han sido atacadas y comprometidas anteriormente, lo que ha provocado importantes filtraciones de datos.
    Marzo de 2020 Incumplimiento de Microsoft : los piratas informáticos comprometieron la cuenta de Microsoft y robaron más de 500 GB de archivos de repositorios privados. Si bien los datos robados consistían principalmente en muestras de código y proyectos de prueba, existía preocupación por la exposición de claves API y contraseñas privadas. El actor de amenazas ShinyHunters finalmente filtró los datos de forma gratuita después de planear inicialmente venderlos.
    Campaña de phishing de septiembre de 2020 : los usuarios de GitHub fueron objeto de una campaña de phishing que involucraba notificaciones falsas de CircleCI. Los atacantes pretendían robar credenciales de GitHub y códigos 2FA mediante proxies inversos. Después de comprometer las cuentas, extrajeron datos y agregaron nuevas cuentas de usuario para mantener el acceso persistente.

    Conclusión

    El ataque de phishing de Gitlocker subraya la amenaza persistente a los repositorios en línea y la importancia de prácticas de seguridad sólidas. Al implementar las medidas de seguridad recomendadas y mantenerse alerta, los usuarios pueden proteger mejor sus cuentas de GitHub contra el acceso no autorizado y la posible pérdida de datos. A medida que las amenazas cibernéticas continúan evolucionando, mantener un enfoque proactivo en materia de seguridad es esencial para salvaguardar los valiosos activos digitales.

    Tendencias

    Mas Visto

    Cargando...