Microsoft confirma el hackeo por parte de Lapsus$: se descubren los métodos de este grupo para vulnerar los sistemas

Tal y como comentábamos recientemente, Lapsus$ se atribuía el mérito de haber entrado en los sistemas de Microsoft y haber robado hasta 37 GB de información confidencial. Entre estos datos había código fuente de servicios como Bing, Bing Maps y Cortana. Sin embargo, no ha sido hasta este momento cuando hemos visto la confirmación por parte de Microsoft.

A través de una entrada en su blog oficial, la compañía con sede en Redmond confirma haber sido vulnerada por el grupo 'DEV-0537', más conocido como Lapsus$. Microsoft ha estado investigando el incidente, y tras haberlo estudiado, han confirmado que solo una cuenta fue comprometida: la que se utilizó para obtener acceso a sus sistemas.

El uso de la ingeniería social para obtener las credenciales de acceso

Según apuntan desde la compañía, el acceso era limitado, y el equipo de seguridad de Microsoft bloqueó la cuenta para evitar mayor actividad.

Microsoft Threat Intelligence Center (MSTIC) evalúa que el objetivo de DEV-0537 es el de obtener acceso elevado a través de credenciales robadas que habilitan el robo de datos y ataques destructivos dirigidos hacia una organización, a menudo resultando en extorsión. Las tácticas y los objetivos indican que se trata de un actor ciberdelincuente motivado por el robo y la destrucción.

Como bien reflejan desde Microsoft, se confirma el modus operandi de Lapsus$. Y es que a través de ingeniería social, se centran en obtener las credenciales de una cuenta con acceso a información de la compañía. La investigación llevada a cabo por Microsoft deja algunas pistas sobre los métodos que este grupo hacker tiene al alcance para cumplir su objetivo. La compañía lo resume en cuatro puntos:

  • Implementación del malware Redline para obtener contraseñas y tokens de sesión.
  • La compra de credenciales y tokens de sesión a través de foros clandestinos criminales.
  • Pago a los empleados de las organizaciones objetivo (o a proveedores/socios comerciales) para acceder a las credenciales y a la aprobación de mecanismos de autenticación multifactor (MFA).
  • Buscando en repositorios públicos credenciales filtradas.

Ya hemos hablado anteriormente de Redline, un malware que, aunado a las diversas técnicas de phishing, es posible robar las credenciales de un usuario. Para ello los ciberdelincuentes suelen insertar este malware en correos o sitios web de dudosa procedencia. Una vez que Lapsus$ obtiene las credenciales, las utiliza para entrar a los sistemas de su objetivo y robar la información. El grupo hacker consiguió irrumpir en los servicios de administración de compañías como NVIDIA, Samsung, LG, Okta, y ahora Microsoft, a través de este tipo de métodos.

Al entrar a los sistemas, los ciberdelincuentes se pueden beneficiar de servicios de VPN, control remoto, infraestructuras de escritorio virtual, o proveedores de identidad, como es el caso de Azure Active Directory u Okta. Además, para saltarse la restricción de los sistemas MFA, Microsoft afirma que suelen utilizar dos técnicas principales: por repetición de los tokens de sesión, y a través de contraseñas robadas para activar los mensajes de MFA las veces que sean necesarias hasta que el usuario ceda.

Desde Microsoft afirman que Lapsus$ no esconde sus huellas, y que cada movimiento suele ser publicitado, en este caso en su canal de Telegram y demás redes sociales. Además, tampoco se esconden en anunciar la necesidad de reclutar a empleados o insiders de compañías que les interese.

Ver todos los comentarios en https://www.genbeta.com

VER 0 Comentario

Portada de Genbeta