Microsoft confirma que empresa foi hackeada após ataque orquestrado pelo grupo Lapsus$
A atividade que observamos foi atribuída a um grupo de ameaças que a Microsoft rastreia como DEV-0537, também conhecido como LAPSUS$. O DEV-0537 é conhecido por usar um modelo puro de extorsão e destruição sem implantar cargas de ransomware. O DEV-0537 começou a visar organizações no Reino Unido e na América do Sul, mas expandiu-se para metas globais, incluindo organizações nos setores de governo, tecnologia, telecomunicações, mídia, varejo e saúde. O DEV-0537 também é conhecido por assumir contas de usuários individuais em trocas de criptomoedas para drenar as participações em criptomoedas.
Na última segunda-feira 21/03/2022 O grupo de hackers conhecido como LAPSUS$ afirmou ter acessado sistema interno da Microsoft, o grupo postou uma captura de tela no Telegram, pouco tempo depois um administrador do canal Telegram do LAPSUS$ excluiu a imagem em seguida deixou a seguinte mensagem:
“Deletado por enquanto, postarei novamente mais tarde”, escreveu.
Ontem um dos administradores do grupo disponibilizou para membros do grupo um link torrent para download do código fonte dos produtos Bing, Bing Maps e Microsoft Cortana, saiba mais em Grupo Lapsus$ publica dados: Microsoft e Okta são novos alvos de grupo hacker.
Detalhamento de como a Microsoft foi Hackeada pelo grupo Lapsus$.
Em uma publicação em seu blog de segurança após ser hackeada, a Microsoft detalhou o ataque do grupo Lapsus$ que roubou e divulgou parte do código-fonte do Bing, Bing Maps e Microsoft Cortana.
Os atores por trás do DEV-0537 concentraram seus esforços de engenharia social para reunir conhecimento sobre as operações de negócios de seus alvos. Essas informações incluem conhecimento íntimo sobre funcionários, estruturas de equipe, help desks, fluxos de trabalho de resposta a crises e relacionamentos da cadeia de suprimentos. Exemplos dessas táticas de engenharia social incluem enviar spam a um usuário alvo com prompts de autenticação multifator (MFA) e ligar para o suporte técnico da organização para redefinir as credenciais de um alvo.
O Microsoft Threat Intelligence Center (MSTIC) avalia que:
O objetivo do DEV-0537 é obter acesso elevado por meio de credenciais roubadas que permitem roubo de dados e ataques destrutivos contra uma organização direcionada, geralmente resultando em extorsão. As táticas e objetivos indicam que este é um ator cibercriminoso motivado por roubo e destruição.
Embora os TTPs e a infraestrutura desse ator estejam constantemente mudando e evoluindo, as seções a seguir fornecem detalhes adicionais sobre o conjunto muito diversificado de TTPs que observamos que o DEV-0537 está usando.
Acesso inicial
O DEV-0537 usa uma variedade de métodos que normalmente se concentram em comprometer as identidades dos usuários para obter acesso inicial a uma organização, incluindo:
- Implantando o ladrão de senhas Redline malicioso para obter senhas e tokens de sessão
- Compra de credenciais e tokens de sessão de fóruns clandestinos criminais
- Pagando funcionários em organizações direcionadas (ou fornecedores/parceiros de negócios) para acesso a credenciais e aprovação de MFA
- Pesquisando repositórios de código público para credenciais expostas
Usando as credenciais e/ou tokens de sessão comprometidos, o DEV-0537 acessa sistemas e aplicativos voltados para a Internet. Esses sistemas geralmente incluem rede privada virtual (VPN), protocolo de área de trabalho remota (RDP), infraestrutura de área de trabalho virtual (VDI), incluindo Citrix, ou provedores de identidade (incluindo Azure Active Directory, Okta). Para organizações que usam segurança de MFA, o DEV-0537 usou duas técnicas principais para satisfazer os requisitos de MFA –
Em alguns casos, o DEV-0537 primeiro atacou e comprometeu contas pessoais ou privadas (não relacionadas ao trabalho) de um indivíduo, dando-lhes acesso para, em seguida, procurar credenciais adicionais que poderiam ser usadas para obter acesso a sistemas corporativos. Dado que os funcionários normalmente usam essas contas pessoais ou números de telefone celular como autenticação de segundo fator ou recuperação de senha, o grupo costumava usar esse acesso para redefinir senhas e concluir ações de recuperação de conta.
A Microsoft também encontrou casos em que o grupo obteve acesso com sucesso a organizações-alvo por meio de funcionários recrutados (ou funcionários de seus fornecedores ou parceiros de negócios). O DEV-0537 anunciou que queria comprar credenciais para seus alvos para atrair funcionários ou contratados para participar de sua operação. Por uma taxa, o cúmplice disposto deve fornecer suas credenciais e aprovar o prompt de MFA ou fazer com que o usuário instale o AnyDesk ou outro software de gerenciamento remoto como Teamviewer em uma estação de trabalho corporativa, permitindo que o agente assuma o controle de um sistema autenticado. Essa tática foi apenas uma das maneiras pelas quais o DEV-0537 aproveitou o acesso de segurança e as relações comerciais que suas organizações-alvo têm com seus provedores de serviços e cadeias de suprimentos.
Em outra atividade observada, os atores DEV-0537 realizaram um ataque de troca de SIM para acessar o número de telefone de um usuário antes de entrar na rede corporativa. Esse método permite que os atores lidem com os prompts de autenticação baseados em telefone de que precisam para obter acesso a um destino.
Uma vez obtido o acesso ou as credenciais de usuário padrão, o DEV-0537 normalmente conectava um sistema à VPN de uma organização. Em alguns casos, para atender aos requisitos de acesso condicional, o DEV-0537 registrou ou ingressou no sistema no Azure Active Directory (Azure AD) da organização.
Dados de clientes Azure e Microsoft 365 não foram comprometidos
Após confirmar que foi hackeada, a Microsoft informa que nenhum dado de consumidor foi roubado no ataque, e a empresa de tecnologia continuará a monitorar a atividade do LAPSUS$ e implementar proteção para os usuários.
As equipes de segurança iniciaram uma investigação nas últimas semanas após o LAPSUS$ atacar outras empresas de tech e anunciar as ações nas redes sociais.
Esta semana, o ator fez alegações públicas de que havia obtido acesso à Microsoft e exfiltrado partes do código-fonte. Nenhum código ou dado de cliente foi envolvido nas atividades observadas.
Nossa investigação descobriu que uma única conta foi comprometida, concedendo acesso limitado. Nossas equipes de resposta à segurança cibernética se envolveram rapidamente para remediar a conta comprometida e evitar mais atividades.
A Microsoft não confia no sigilo do código como medida de segurança e a visualização do código-fonte não aumenta o risco.
As táticas DEV-0537 usadas nesta intrusão refletem as táticas e técnicas discutidas neste blog. Nossa equipe já estava investigando a conta comprometida com base na inteligência de ameaças quando o ator divulgou publicamente sua invasão.
Recomendações da Microsoft e a importância do MFA
A autenticação multifator (MFA) é uma das principais linhas de defesa contra DEV-0537. Embora esse grupo tente identificar lacunas na MFA, ele continua sendo um pilar crítico na segurança de identidade para funcionários, fornecedores e outros funcionários. Consulte as recomendações a seguir para implementar a MFA com mais segurança:
- Exija o Multifactor Authenticator para todos os usuários provenientes de todos os locais, incluindo ambientes confiáveis percebidos e toda a infraestrutura voltada para a Internet, mesmo aqueles provenientes de sistemas locais.
- Aproveite implementações mais seguras, como FIDO Tokens ou o Microsoft Authenticator com correspondência de números . Evite métodos de MFA baseados em telefonia para evitar riscos associados à tomada de SIM.
- Use a proteção de senha do Azure AD para garantir que os usuários não estejam usando senhas fáceis de adivinhar. Nosso blog sobre ataques de spray de senha apresenta recomendações adicionais.
- Aproveite os métodos de autenticação sem senha , como Windows Hello for Business, Microsoft Authenticator ou tokens FIDO para reduzir riscos e problemas de experiência do usuário associados a senhas.
Não permita:
- Usuários utilize fatores de MFA fracos, como mensagens de texto (suscetível à troca de SIM), aprovações de voz simples, push simples (em vez disso, use correspondência de números ) ou endereços de e-mail secundários.
- Inclua exclusões com base na localização. As exclusões de MFA permitem que um ator com apenas um fator para um conjunto de identidades ignore os requisitos de MFA se puder comprometer totalmente uma única identidade.
- Permitir compartilhamento de credencial ou fator de MFA entre usuários.
O grupo recente atacou a Nvidia e a Samsung e onde supostamente publicou um “código-fonte confidencial da Samsung”.
Você acredita que o grupo Lapsus$ possa ter acessado mais dados após a Microsoft ser Hackeada?
Curta, comente e compartilhe