Microsoft ha confirmado que uno de sus empleados se vio comprometido por el grupo de piratería Lapsus$, lo que permitió a los actores de amenazas acceder y robar partes de su código fuente.
Anoche, la pandilla Lapsus$ lanzó 37 GB de código fuente robado del servidor Azure DevOps de Microsoft. El código fuente es para varios proyectos internos de Microsoft, incluidos Bing, Cortana y Bing Maps.
En una nueva publicación de blog publicada esta noche, Microsoft ha confirmado que Lapsus$ vulneró la cuenta de uno de sus empleados, proporcionando acceso limitado a los repositorios de código fuente.
“Ningún código de cliente o datos estuvieron involucrados en las actividades observadas. Nuestra investigación encontró que una sola cuenta se vio comprometida, otorgando acceso limitado. Nuestros equipos de respuesta de seguridad cibernética se comprometieron rápidamente para remediar la cuenta comprometida y evitar más actividades”, explicó Microsoft en un aviso. sobre los actores de amenazas Lapsus$.
“Microsoft no confía en el secreto del código como medida de seguridad y la visualización del código fuente no conduce a una elevación del riesgo. Las tácticas DEV-0537 utilizadas en esta intrusión reflejan las tácticas y técnicas discutidas en este blog”.
“Nuestro equipo ya estaba investigando la cuenta comprometida en base a inteligencia de amenazas cuando el actor reveló públicamente su intrusión. Esta divulgación pública intensificó nuestra acción, lo que permitió a nuestro equipo intervenir e interrumpir al actor en medio de la operación, lo que limitó un impacto más amplio”.
Si bien Microsoft no ha compartido cómo se comprometió la cuenta, proporcionó una descripción general de las tácticas, técnicas y procedimientos (TTP) de la pandilla Lapsus observados en múltiples ataques.
Centrarse en las credenciales comprometidas
Microsoft está rastreando al grupo de extorsión de datos Lapsus$ como ‘DEV-0537’ y dice que se enfocan principalmente en obtener credenciales comprometidas para el acceso inicial a las redes corporativas.
Estas credenciales se obtienen utilizando los siguientes métodos:
- Implementación del ladrón de contraseñas malicioso Redline para obtener contraseñas y tokens de sesión
- Compra de credenciales y tokens de sesión en foros clandestinos criminales
- Pagar a los empleados de las organizaciones específicas (o proveedores/socios comerciales) por el acceso a las credenciales y la aprobación de la autenticación multifactor (MFA)
- Búsqueda de repositorios de códigos públicos para credenciales expuestas
El ladrón de contraseñas Redline se ha convertido en el malware elegido para robar credenciales y se distribuye comúnmente a través de correos electrónicos de phishing, abrevaderos, sitios warez y videos de YouTube.
Una vez que Laspsus$ obtiene acceso a las credenciales comprometidas, las usan para iniciar sesión en los dispositivos y sistemas públicos de una empresa, incluidas las VPN, la infraestructura de escritorio virtual o los servicios de administración de identidades, como Okta, que violaron en enero .
Microsoft dice que usan ataques de repetición de sesión para cuentas que utilizan MFA, o activan continuamente notificaciones de MFA hasta que el usuario se cansa de ellas y confirma que se le debe permitir iniciar sesión.
Microsoft dice que en al menos un ataque, Lapsus $ realizó un ataque de intercambio de SIM para obtener el control de los números de teléfono y los mensajes de texto del usuario para obtener acceso a los códigos MFA necesarios para iniciar sesión en una cuenta.
Una vez que obtienen acceso a una red, los actores de amenazas usan AD Explorer para encontrar cuentas con mayores privilegios y luego apuntan a plataformas de desarrollo y colaboración, como SharePoint, Confluence, JIRA, Slack y Microsoft Teams, donde se roban otras credenciales.
El grupo de piratería también usa estas credenciales para obtener acceso a los repositorios de código fuente en GitLab, GitHub y Azure DevOps, como vimos con el ataque a Microsoft.
“También se sabe que DEV-0537 explota vulnerabilidades en Confluence, JIRA y GitLab para escalar privilegios”, explica Microsoft en su informe.
“El grupo comprometió los servidores que ejecutan estas aplicaciones para obtener las credenciales de una cuenta privilegiada o ejecutarlas en el contexto de dicha cuenta y volcar las credenciales desde allí”.
Luego, los actores de amenazas recolectarán datos valiosos y los exfiltrarán a través de las conexiones de NordVPN para ocultar sus ubicaciones mientras realizan ataques destructivos en la infraestructura de las víctimas para desencadenar procedimientos de respuesta a incidentes.
Los actores de amenazas luego monitorean estos procedimientos a través de los canales de Slack o Microsoft Teams de la víctima.
Protección contra Lapsus$
Microsoft recomienda que las entidades corporativas realicen los siguientes pasos para protegerse contra actores de amenazas como Lapsus$:
- Fortalecer la implementación de MFA
- Requerir puntos finales saludables y confiables
- Aproveche las opciones de autenticación modernas para las VPN
- Fortalezca y supervise su postura de seguridad en la nube
- Mejorar el conocimiento de los ataques de ingeniería social
- Establecer procesos de seguridad operativa en respuesta a las intrusiones DEV-0537
Lapsus$ ha realizado recientemente numerosos ataques contra la empresa, incluidos NVIDIA , Samsung , Vodafone , Ubisoft , Mercado Libre y ahora Microsoft.
Por lo tanto, se recomienda enfáticamente que los administradores de redes y seguridad se familiaricen con las tácticas utilizadas por este grupo al leer el informe de Microsoft .
Fuente: BleepingComputer
