Geral 3min de Leitura - 28 de março de 2022

Microsoft confirma que sofreu cyberataque do grupo Lapsus$

lapsus$ ransomware

This post is also available in: Português

A Microsoft confirmou que foi alvo de um ciberataque organizado pelo grupo Lapsus$, que foi responsável por acessar, coletar e divulgar informações sigilosas dessa e outras empresas nos últimos dias.

Segundo um post realizado na terça-feira, 22, no blog da Microsoft, apenas uma conta ligada a empresa foi invadida, concedendo acesso limitado aos repositórios de código-fonte.

A empresa explicou em um comunicado que nenhum código de cliente ou dados foram envolvidos nas atividades observadas. As equipes de resposta à segurança cibernética rapidamente se envolveram para remediar a conta comprometida e evitar mais atividades. A Microsoft não confia no sigilo do código como medida de segurança e a visualização do código-fonte não aumenta o risco.

O grupo Lapsus$ divulgou publicamente sua invasão, e em seu relato, consta que arquivos como Cortana, Bing e Bing Mapas foram acessados. Uma companhia de serviços de autenticação bastante popular nos Estados Unidos também teria sido afetada.

lapsus$
Pastas divulgadas pelo grupo Lapsus$. Fonte: Bleeping Computer.

Apesar da preocupação do publico e de especialistas, a Microsoft afirmou que a divulgação da invasão pelos próprios cibercriminosos facilitou a ação preventiva.

No comunicado emitido pela empresa, ela diz que a equipe já estava investigando a conta comprometida baseada em inteligência contra ameaças quando o responsável publicamente declarou a invasão. Essa divulgação pública aumentou a ação da equipe, permitindo que eles interferissem e interrompessem o ator no meio da operação, limitando maiores impactos.

Modos operandi do grupo Lapsus$

Embora a Microsoft não tenha compartilhado como a conta foi comprometida, eles forneceram uma visão geral das táticas, técnicas e procedimentos (TTPs) do grupo Lapsus$, que está sendo rastreado como ‘DEV-05-37’, observados em vários ataques. A empresa diz que eles se concentram principalmente na obtenção de credenciais comprometidas para acesso inicial a redes corporativas.

Essas credenciais são obtidas usando os seguintes métodos:

  • Implantando o malware RedLine para obter senhas e tokens de sessão
  • Comprando credenciais e tokens de sessão em fóruns clandestinos
  • Pagar funcionários em organizações direcionadas (ou fornecedores/parceiros de negócios) para acesso a credenciais e aprovação de autenticação multifator (MFA)
  • Pesquisando repositórios de código público para credenciais expostas

O malware RedLine se tornou o malware preferido para roubo de credenciais, e é comumente distribuído por e-mails de phishing, watering holes (uma estratégia de ataque ao computador em que um invasor adivinha ou observa quais sites uma organização costuma usar e infecta um ou mais deles com malware), sites warez e vídeos do YouTube.

Após o Lapsus$ obter acesso às credenciais comprometidas, ele faz uso das mesmas para logar nos dispositivos e sistemas disponibilizados pela empresa, incluindo VPNs, infraestrutura de desktop virtual ou serviços de gerenciamento de identidade, como Okta, que eles violaram em janeiro.

A Microsoft diz que o grupo usa ataques de repetição de sessão para contas que utilizam MFA ou aciona continuamente notificações de MFA até que o usuário se canse delas e confirme que o usuário deve ter permissão para fazer login.

A empresa ainda diz que em pelo menos um ataque, o Lapsus$ obteve sucesso na tentativa de troca de SIM, obtendo controle sobre os números de telefone e SMS de um usuário, obtendo acesso aos códigos MFA necessários para fazer login em uma conta.

O grupo de cibercriminosos também usa essas credenciais para obter acesso a repositórios de código-fonte no GitLab, GitHub e Azure DevOps.

Mantenha-se seguro

É necessário que as empresas e organizações sigam algumas recomendações e executem etapas para se proteger contra cibercriminosos, como o grupo Lapsus$. Confira abaixo:

  • Reforçar a implementação de MFA;
  • Manter endpoints seguros e confiáveis;
  • Aplicar opções modernas de autenticação para VPNs;
  • Fortaleceer e monitorar sua postura de segurança na nuvem;
  • Melhorar a conscientização sobre ataque de engenharia social;
  • Estabelecer processos de segurança operacional em resposta a intrusões.
  • Recentemente, o grupo Lapsus$ realizou vários ataques contra grandes empresas, como Samsung, Mercado Livre e Microsoft.

    Portanto, é essencial e altamente recomendável que os administradores de segurança e rede se familiarizem com as táticas usadas por esse grupo que estão disponíveis no relatório da Microsoft.

    Fonte: Bleeping Computer, Microsoft.

    This post is also available in: Português