Microsoft confirma que fue hackeado por el grupo Lapsus$

Microsoft ha confirmado un incidente de seguridad que saltó a Internet el pasado fin de semana, cuando el grupo de piratas informáticos autodenominado LAPSUS$ aseguró que había robado 37 Gbytes de datos de un servidor Azure DevOps, que contenía código fuente de varios proyectos internos de Microsoft, incluidos el buscador Bing, el asistente Cortana y el servicio de mapas Bing Maps.

El hackeo a Microsoft se produjo cuando el grupo Lapsus$ vulneró la cuenta de uno de sus empleados, lo que le proporcionó acceso limitado a los repositorios del código fuente. «Ningún código de cliente o datos estuvieron involucrados en las actividades observadas. Nuestra investigación encontró que una sola cuenta se vio comprometida, otorgando acceso limitado. Nuestros equipos de respuesta de seguridad cibernética bloquearon la cuenta comprometida para evitar más actividad», explica Microsoft en un artículo en su blog de seguridad.

El gigante del software aclara que la filtración del código fuente no eleva el riesgo en ciberseguridad y de hecho una parte de ese código está disponible públicamente en GitHub. También explica que su equipo de seguridad ya estaba investigando a LAPSUS$ después que el grupo vulnerara la seguridad de otras grandes empresas como NVIDIA, Samsung o Vodafone. «Ello permitió a nuestro equipo intervenir e interrumpir el ataque en medio de la operación, lo que limitó un impacto más amplio», aseguran.

¿Cómo se produjo el hackeo a Microsoft?

Microsoft no ha precisado exactamente como se comprometió la cuenta del empleado citada, pero ha proporcionado una descripción general de las tácticas, técnicas y procedimientos que usa LAPSUS$, un grupo de ciberdelincuentes que la compañía investiga con el nombre de ‘DEV-0537’.

Al igual que sucedió en el robo de datos a NVIDIA, el grupo enfoca sus esfuerzos en obtener credenciales para el acceso inicial a las redes corporativas. Una empresa puede tener la mejor seguridad informática del planeta, pero si falla el factor humano y los atacantes consiguen los datos de autenticación de algún empleado de nivel, se acabó la seguridad. Estas credenciales se obtienen utilizando los siguientes métodos:

  • Implementación del malware especializado ‘Redline’ para obtener contraseñas y tokens de sesión. 
  • Compra de credenciales y tokens de sesión en foros clandestinos. 
  • Pago a los empleados de las organizaciones específicas (o proveedores/socios comerciales) por el acceso a las credenciales y la correspondiente aprobación de la autenticación multifactor (MFA).
  • Búsqueda de credenciales expuestas en repositorios de códigos públicos. 

La forma de operar es conocida. Se introduce el malware Redline a través de correos electrónicos de phishing, sitios de warez y videos de YouTube para robar las credenciales. Una vez que Laspsus$ obtiene acceso a las credenciales comprometidas, las utilizan para iniciar sesión en los dispositivos y sistemas públicos de una empresa, incluidas las VPN, la infraestructura de escritorios virtuales o los servicios de administración de identidades, como sucedió con la empresa Okta, que violaron en enero.

Microsoft dice que usan ataques de repetición de sesión para cuentas que utilizan MFA o activan continuamente notificaciones de MFA hasta que el usuario se cansa de ellas y confirma que se le debe permitir iniciar sesión. Lapsus también realizó un ataque de intercambio de SIM para obtener el control de los números de teléfono y los mensajes de texto del usuario, con el objetivo de obtener los códigos multifactor necesarios para iniciar sesión en la cuenta.

hackeo a Microsoft

Lapsus$, un grupo peligroso

El hackeo a Microsoft es el último conocido de un grupo que en pocos meses ha sido capaz de violar la seguridad de los servidores de NVIDIA, Samsung, Ubisoft, Vodafone, Okta o Mercado Libre. En el mismo anuncio del incidente de Microsoft, el grupo ha lanzado un archivo de texto que contiene detalles del registro de los empleados y cuentas de servicio de LG, incluyendo contraseñas hash y nombres de usuario. 

En los últimos días, el grupo ha publicado un enlace torrent que contiene el código fuente de Microsoft para Cortana, Bing y Bing Maps, entre otros. La filtración contiene datos de 258 proyectos y tiene un tamaño de 37 Gbytes. 

Investigadores de seguridad que lo han analizado confirman que proviene de Microsoft. Además, el archivo también contiene correos electrónicos, certificados y detalles sobre claves privadas y públicas. No está confirmado que esta última información sea reciente o es fruto del robo de datos de anteriores ataques como el de SolarWinds que también afectó a Microsoft. 

En su blog de seguridad, Microsoft describe una serie de pasos que otras organizaciones pueden seguir para mejorar su seguridad, incluyendo un sistema de autenticación multifactor fuerte evitando los que usan mensajes de texto o correos electrónicos secundarios (que como sabemos son inseguros), educar a los miembros del equipo contra ataques de ingeniería social y la creación de una estrategia de respuesta rápida ante los ataques de Lapsus$, que según dicen ellos mismos van a continuar.

La entrada Microsoft confirma que fue hackeado por el grupo Lapsus$ es original de MuyComputer


Comentarios

Entradas populares de este blog

Seat Ateca, vistas

Hyundai Staria, calibre

Alienware Area-51m, el portátil gamer más potente