This post is also available in: Português
A Microsoft confirmou que foi alvo de um ciberataque organizado pelo grupo Lapsus$, que foi responsável por acessar, coletar e divulgar informações sigilosas dessa e outras empresas nos últimos dias.
Segundo um post realizado na terça-feira, 22, no blog da Microsoft, apenas uma conta ligada a empresa foi invadida, concedendo acesso limitado aos repositórios de código-fonte.
A empresa explicou em um comunicado que nenhum código de cliente ou dados foram envolvidos nas atividades observadas. As equipes de resposta à segurança cibernética rapidamente se envolveram para remediar a conta comprometida e evitar mais atividades. A Microsoft não confia no sigilo do código como medida de segurança e a visualização do código-fonte não aumenta o risco.
O grupo Lapsus$ divulgou publicamente sua invasão, e em seu relato, consta que arquivos como Cortana, Bing e Bing Mapas foram acessados. Uma companhia de serviços de autenticação bastante popular nos Estados Unidos também teria sido afetada.
Pastas divulgadas pelo grupo Lapsus$. Fonte: Bleeping Computer.
Apesar da preocupação do publico e de especialistas, a Microsoft afirmou que a divulgação da invasão pelos próprios cibercriminosos facilitou a ação preventiva.
No comunicado emitido pela empresa, ela diz que a equipe já estava investigando a conta comprometida baseada em inteligência contra ameaças quando o responsável publicamente declarou a invasão. Essa divulgação pública aumentou a ação da equipe, permitindo que eles interferissem e interrompessem o ator no meio da operação, limitando maiores impactos.
Modos operandi do grupo Lapsus$
Embora a Microsoft não tenha compartilhado como a conta foi comprometida, eles forneceram uma visão geral das táticas, técnicas e procedimentos (TTPs) do grupo Lapsus$, que está sendo rastreado como ‘DEV-05-37’, observados em vários ataques. A empresa diz que eles se concentram principalmente na obtenção de credenciais comprometidas para acesso inicial a redes corporativas.
Essas credenciais são obtidas usando os seguintes métodos:
- Implantando o malware RedLine para obter senhas e tokens de sessão
- Comprando credenciais e tokens de sessão em fóruns clandestinos
- Pagar funcionários em organizações direcionadas (ou fornecedores/parceiros de negócios) para acesso a credenciais e aprovação de autenticação multifator (MFA)
- Pesquisando repositórios de código público para credenciais expostas
O malware RedLine se tornou o malware preferido para roubo de credenciais, e é comumente distribuído por e-mails de phishing, watering holes (uma estratégia de ataque ao computador em que um invasor adivinha ou observa quais sites uma organização costuma usar e infecta um ou mais deles com malware), sites warez e vídeos do YouTube.
Após o Lapsus$ obter acesso às credenciais comprometidas, ele faz uso das mesmas para logar nos dispositivos e sistemas disponibilizados pela empresa, incluindo VPNs, infraestrutura de desktop virtual ou serviços de gerenciamento de identidade, como Okta, que eles violaram em janeiro.
A Microsoft diz que o grupo usa ataques de repetição de sessão para contas que utilizam MFA ou aciona continuamente notificações de MFA até que o usuário se canse delas e confirme que o usuário deve ter permissão para fazer login.
A empresa ainda diz que em pelo menos um ataque, o Lapsus$ obteve sucesso na tentativa de troca de SIM, obtendo controle sobre os números de telefone e SMS de um usuário, obtendo acesso aos códigos MFA necessários para fazer login em uma conta.
O grupo de cibercriminosos também usa essas credenciais para obter acesso a repositórios de código-fonte no GitLab, GitHub e Azure DevOps.
Mantenha-se seguro
É necessário que as empresas e organizações sigam algumas recomendações e executem etapas para se proteger contra cibercriminosos, como o grupo Lapsus$. Confira abaixo:
- Reforçar a implementação de MFA;
- Manter endpoints seguros e confiáveis;
- Aplicar opções modernas de autenticação para VPNs;
- Fortaleceer e monitorar sua postura de segurança na nuvem;
- Melhorar a conscientização sobre ataque de engenharia social;
- Estabelecer processos de segurança operacional em resposta a intrusões.
Recentemente, o grupo Lapsus$ realizou vários ataques contra grandes empresas, como Samsung, Mercado Livre e Microsoft.
Portanto, é essencial e altamente recomendável que os administradores de segurança e rede se familiarizem com as táticas usadas por esse grupo que estão disponíveis no relatório da Microsoft.
Fonte: Bleeping Computer, Microsoft.
This post is also available in: Português