Confirman hackeo de Microsoft por Lapsus$

Microsoft ha confirmado un incidente de seguridad que afectó a Internet el pasado fin de semana, cuando el grupo de hackers que se hace llamar LAPSUS$ afirmó que robó 37 GB de datos de un servidor Azure DevOps, que contenía el código fuente de varios proyectos internos de Microsoft, incluido el motor de búsqueda Bing, el asistente de Cortana y el servicio de mapas de Bing Maps.

El hack de Microsoft ocurrió cuando el grupo Lapsus$ comprometió la cuenta de uno de sus empleadoslo que le dio acceso limitado a los repositorios de código fuente. “Ningún código o datos de clientes estuvieron involucrados en las actividades observadas. Nuestra investigación reveló que solo una cuenta estaba comprometida, lo que otorgaba acceso limitado. Nuestros equipos de respuesta de seguridad cibernética han bloqueado la cuenta comprometida para evitar más actividad".explica Microsoft en un artículo de su blog de seguridad.

El gigante del software aclara que la filtración del código fuente no aumenta el riesgo de ciberseguridad y que, de hecho, parte de este código está disponible públicamente en GitHub. También explica que su equipo de seguridad ya estaba investigando LAPSUS$ después de que el grupo violar la seguridad de otras grandes empresas como NVIDIA, Samsung o Vodafone. "Esto permitió a nuestro equipo intervenir e interrumpir el ataque en medio de la operación, limitando un impacto más amplio".aseguran.

¿Cómo ocurrió el hackeo de Microsoft?

Microsoft no especificó exactamente cómo se comprometió la cuenta del empleado citado, pero proporcionó una descripción general de la tácticas, técnicas y procedimientos utilizados por LAPSUS$un grupo de ciberdelincuentes que la empresa está investigando como "DEV-0537".

Como en el robo de datos de NVIDIA, el grupo centra sus esfuerzos en obtener credenciales para el acceso inicial a las redes corporativas. Una empresa puede tener la mejor seguridad de TI del planeta, pero si el factor humano falla y los atacantes roban las credenciales de algunos empleados de alto nivel, la seguridad se acaba. Estas credenciales se obtienen utilizando los siguientes métodos:

  • Implementación de malware especializado 'Redline' para obtener contraseñas y tokens de sesión.
  • Compra de credenciales y tokens de sesión en foros clandestinos.
  • Pago a empleados de organizaciones específicas (o proveedores/socios comerciales) por el acceso a las credenciales y la correspondiente aprobación de autenticación multifactor (MFA).
  • Busque credenciales expuestas en repositorios de códigos públicos.

El modus operandi es conocido. Se introduce malware línea roja a través de correos electrónicos de phishing, sitios warez y videos de YouTube para robar credenciales. Una vez que Laspsus$ tiene acceso a las credenciales comprometidas, las usa para iniciar sesión en los dispositivos y sistemas públicos de una empresa, incluidas las VPN, la infraestructura de escritorio virtual o los servicios de administración de identidad, como sucedió con la empresa Okta, a la que violaron en enero.

Microsoft dice que usan ataques de repetición de sesión para cuentas que usan MFA o activan continuamente notificaciones de MFA hasta que el usuario se cansa y confirma que se le debe permitir iniciar sesión. Lapsus también llevó a cabo un ataque de intercambio de SIM para tomar el control de los números de teléfono y mensajes de texto del usuario, con el objetivo de obtener los códigos multifactor necesarios para iniciar sesión en la cuenta.

hackear microsoft

Lapsus$, un grupo peligroso

El hack de Microsoft es el último conocido de un grupo que en pocos meses logró vulnerar la seguridad de los servidores de NVIDIA, Samsung, Ubisoft, Vodafone, Okta e incluso Mercado Libre. En el mismo anuncio de incidente de Microsoft, el grupo lanzó un archivo de texto que contenía los detalles de la Registro de empleados de LG y cuentas de servicioincluyendo contraseñas hash y nombres de usuario.

En los últimos días, el grupo publicó un enlace de torrent que contenía el código fuente de Microsoft para Cortana, Bing y Bing Maps, entre otros. La fuga contiene datos de 258 proyectos y un tamaño de 37 GB.

Los investigadores de seguridad que lo han analizado confirman que es de Microsoft. Además, el archivo también contiene correos electrónicos, certificados y detalles de claves públicas y privadas. No está confirmado que esta última información sea reciente o que sea el resultado del robo de datos durante ataques anteriores, como el ataque SolarWinds que también afectó a Microsoft.

En su blog de seguridad, Microsoft describe una serie de pasos que otras organizaciones pueden seguir para mejorar su seguridadincluyendo un sólido sistema de autenticación de múltiples factores que evita el uso de SMS o correos electrónicos secundarios (que sabemos que no son seguros), educando a los miembros del equipo contra los ataques de ingeniería social y creando una estrategia de respuesta rápida contra los ataques de Lapsus$, que creen que la mantendrá. yendo.

Via: Acorta URL

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Subir