Microsoft confirmó el acceso no autorizado a sus sistemas luego de que comprometieran la cuenta de un empleado, mientras que Okta confirmó que los atacantes comprometieron un equipo de un ingeniero de soporte.
El grupo extorsivo LAPSUS$ sigue muy activo. Luego de las filtraciones de NVIDIA y Samsung hace unas semanas y la amenaza de filtrar información de Mercado Libre, el grupo publicó en Telegram detalles de los supuestos accesos no autorizados que el grupo afirma haber logrado y que afectan a Microsoft y al proveedor de servicios de autenticación Okta. Horas después de la publicación de un archivo con parte de la información robada a Microsoft, la compañía confirmó que sufrió un incidente de seguridad. En el caso de Okta, luego de que LAPSUS$ publicara imágenes del supuesto acceso a la cuenta de un empleado, la compañía lanzó un comunicado en el que asegura que no sufrieron el acceso indebido a sus sistemas y que aun así están investigando.
Robo de información a Microsoft
Tras la publicación de un archivo comprimido de 9GB que contienen parte del código fuente robado de Bing, Bing Maps y Cortana, Microsoft confirmó en el día de ayer a través de un comunicado que uno de sus empleados fue víctima de un incidente de seguridad que permitió a los actores maliciosos acceder y robar parte del código fuente de algunos de sus productos desde un servidor interno. Los cibercriminales aseguran haber robado 37GB de código fuente de varios proyectos de la compañía.
Publicación en Telegram de LAPSUS$ en la que publican parte de la información robada a Microsoft.
Según revelaron algunos medios, investigadores que analizaron los datos filtrados manifestaron que parecen ser legítimos y agregaron que la filtración incluye, además del código fuente de varios proyectos, correos y documentación utilizada internamente.
En el comunicado, Microsoft aseguró que el incidente no comprometió información de los clientes y que el acceso indebido fue realizado tras comprometer una cuenta de un empleado que permitió a los actores maliciosos acceder a una parte limitada de sus repositorios. Por otra parte, la filtración del código fuente no supone un riesgo para la seguridad, aseguró el gigante tecnológico.
Robo de información a Okta
Esta semana se conoció que otra de las víctimas de LAPSUS$ fue Okta, una compañía que ofrece servicios de autenticación y que es utilizada por grandes compañías. Según publicaron a través de Telegram, los cibercriminales tuvieron acceso a una cuenta con permisos de administrador que les permitió resetear contraseñas y la autenticación multifactor de una gran cantidad de clientes. A su vez, los criminales aclaran que no accedieron ni robaron ninguna base de datos de Okta.
Imagenes publicadas por LAPSUS$ como prueba del compromiso de una cuenta con permisos de administrador de un usuario de soporte.
Por su parte, el jefe de seguridad de Okta, David Bradbury, publicó un comunicado en el que asegura que la compañía no fue víctima de un ataque y que sus servicios continúan operando con normalidad, aunque sí manifestaron que en enero de este año detectaron un intento fallido de comprometer la cuenta de un ingeniero de soporte al cliente que trabaja para un proveedor tercero. Sin embargo, pese al intento fallido, investigaron lo que ocurrió con una compañía forense que reveló que en enero de este año un atacante tuvo acceso a la computadora de un ingeniero de soporte y que las imágenes reveladas por LAPSUS$ estarían relacionadas a este incidente.
En una actualización del comunicado publicado por Okta el 22 de marzo, la compañía confirmó que finalmente un pequeño porcentaje de sus clientes (aproximadamente 2.5%) se vio afectado por el incidente que sufrió uno de sus empleados y que los actores maliciosos podrían haber tenido acceso a sus datos.
Según explicó Bradbury, “el potencial impacto para los clientes de Okta están limitados a los accesos que tienen los ingenieros de soporte. Estos ingenieros no son capaces de crear o eliminar usuarios o descargar bases de datos de los clientes. Los ingenieros de soporte sí tienen acceso a ciertos datos, pero los mismos son limitados, como tickets en Jira y listas de usuarios”. Además, agregó que “los ingenieros de soporte pueden resetear contraseñas y la autenticación multifactor de los usuarios, pero no tienen acceso a las contraseñas”.
Mecanismos utilizados por LAPSUS$ para acceder a los sistemas de sus víctimas
Según reveló Microsoft, el actor de amenaza bajo el nombre LAPSUS$, monitoreados por Microsoft bajo el nombre DEV-0537, es un grupo extorsivo que comenzó atacando a compañías en Reino Unido y América del Sur, pero fue ampliando sus blancos de ataque a nivel global afectando a organismos gubernamentales, compañías de sectores como tecnológicas, telecomunicaciones o retail, y según Microsoft también es conocido por comprometer cuentas de usuarios en Exchange de criptomonedas para sustraer fondos.
Además de buscar el interés de los medios al hacer públicos sus filtraciones, LAPSUS$ se vale de diferentes técnicas para llevar adelante sus ataques que tienen como objetivo obtener accesos con privilegios a través de credenciales robadas que les permitan robar y borrar datos de las víctimas.
Por ejemplo, algunas de las técnicas que utiliza este grupo son ataques de ingeniería social a través del teléfono (vishing), ataques de SIM swapping que permiten el robo de cuentas, compra de credenciales a empleados y en foros clandestinos de la dark web, uso de malware del tipo infostealer, como RedLine, para robar contraseñas y tokens de sesión, entre otras.
Una vez que obtienen credenciales y tokens de sesión, los atacantes buscan comprometer cuentas o servicios que permitan acceder a sistemas corporativos..
Fuente info
Autor: Juan Manuel Harán
Advance Wars: Re-boot Camp Por solo 59,90 € 44,99 €
Patriot P220 SSD 2TB SATA III Disco Sólido Interno 2.5" Por solo 91,99 €
91,99 €
Memoria USB Por solo
TISHOW 2 Piezas Mando Samsung Smart TV, Nuevo Samsung BN59-01315B Mando a Distancia de Repuesto para Samsung Smart TV LCD 4K TVs, con Netflix Rakuten TV Prime Video Button Por solo 11,99 €
11,99 €
Kingston DataTraveler Exodia DTX/128GB Flash Drive USB 3.2 Gen 1 - with Protective Cap and Keyring in Multiple Colours Por solo 18,99 € 7,16 €
HP EliteDesk 800 G2 Desktop Mini USDT Intel Quad Core i5 256 GB SSD disco duro 8 GB de memoria Win 10 Pro MAR Ultra Slim Ordenador de sobremesa Mini PC (reacondicionado) Por solo 150,00 € 137,00 €
903XL Cartuchos de Tinta 903 Chip de Actualización compatibles con Cartuchos HP 903 XL 903 para HP OfficeJet Pro 6950 HP officejet Pro 6960 HP officejet Pro 6970 (1 Negro/1 Cian/1 Magenta/1 Amarillo) Por solo 32,09 € 30,99 €
NGS Haze - Ratón Óptico Inalámbrico 2.4GHz, Ratón USB para Ordenador o Laptop con 3 Botones y Scroll Metálico, 800/1600dpi, Gris Por solo 11,99 € 5,29 €
Playstation 5 Consola + Hogwarts Legacy AMZ excl PS5 Por solo 624,94 € 579,99 €
Emotn N1 Netflix Proyector Portátil con Licencia Oficial, Nativo 1080P Full HD, Enfoque Automático, Corrección Trapezoidal Automática, Imagen de 120", Dolby Audio, Wi-Fi 5G y Bluetooth 5.0 Por solo 499,00 €
499,00 €
HP 305 6ZD17AE, Negro y Tricolor, Tinta Originales Compatible con impresoras de inyección de tinta HP Deskjet 2710,2720,2721; HP Deskjet Plus 4110,4120,4130; HP Envy 6020, (Paquete de 2 Tintas) Por solo 25,99 € (13,00 € / unidad) 22,94 € (11,47 € / unidad)
Dell Inspiron 15 3000 - Ordenador Portátil de 15.6'' Full HD (Intel Core i3-1115G4, 8 GB RAM, 256 GB SSD, Intel Iris Xe Graphics, Windows 11 Home), Negro - Teclado QWERTY Español Por solo
HP 301XL CH563EE, Negro, Cartucho de Tinta de Alta Capacidad Original, Compatible con impresoras de inyección de tinta HP DeskJet, OfficeJet, ENVY Por solo 43,99 € 37,50 €
Chromecast con Google TV (HD) - Reproduce contenido en streaming en el televisor con el mando de control por voz - Películas, series en HD Por solo 43,50 € 42,69 €
Mandos Switch Inalambricos para Switch/Switch Lite con Wake Up, Set De Dos Joy Cons con Gyro Axis/Dual Shock/Función Turbo y Captura de Pantalla(Azul y amarillo) Por solo 39,99 €
39,99 €
Chromecast con Google TV (4K) - Entretenimiento en streaming, en tu TV y con búsqueda por voz - Disfruta de películas, series y Netflix en 4K con HDR - Fácil de instalar, Blanco Nieve (Snow) Por solo 69,99 € 61,00 €
ASWEE Reloj Inteligente Mujer Hombre, 1.85'' Smartwatch con Haga y reciba Llamadas, Pulsera Actividad Impermeable IP68 con Pulsometro, Monitor de Sueño, Podómetro, 113 Modos Deportespara Android iOS Por solo 49,99 €
49,99 €