Hackers de LAPSUS$ afirman haber violado Microsoft y la firma de autenticación Okta

Microsoft y el proveedor de servicios de autenticación Okta dijeron que están investigando las denuncias de una posible violación alegada por la banda extorsionadora LAPSUS$.

El desarrollo, que fue reportado por primera vez por Vice y Reuters, se produce después de que el grupo cibercriminal publicara capturas de pantalla y código fuente de lo que dijo que eran los proyectos y sistemas internos de las compañías en su canal de Telegram.

El archivo filtrado de 37 GB muestra que el grupo puede haber accedido a los repositorios relacionados con Bing, Bing Maps y Cortana de Microsoft, con las imágenes destacando la suite Atlassian de Okta y los canales internos de Slack.

"Para un servicio que impulsa los sistemas de autenticación a muchas de las corporaciones más grandes (y fedramp aprobado) creo que estas medidas de seguridad son bastante pobres", escribió el cártel de hackers en Telegram.

Además de esto, el grupo alegó que violó LG Electronics (LGE) por "segunda vez" en un año.

Bill Demirkapi, investigador de seguridad de Zoom, señaló que "LAPSUS$ parece haber obtenido acceso al inquilino de Cloudflare con la capacidad de restablecer las contraseñas de los empleados", y agregó que la compañía "no reconoció públicamente ninguna violación durante al menos dos meses".

octa

Desde entonces, LAPSUS$ ha aclarado que no violó las bases de datos de Okta y que "nuestro enfoque estaba SOLO en los clientes de Okta". Esto podría plantear serias implicaciones para otras agencias gubernamentales y empresas que dependen de Okta para autenticar el acceso de los usuarios a los sistemas internos.

"A finales de enero de 2022, Okta detectó un intento de comprometer la cuenta de un ingeniero de atención al cliente externo que trabajaba para uno de nuestros subprocesadores. El asunto fue investigado y contenido por el subprocesador", dijo el CEO de Okta, Todd McKinnon, en un tuit.

"Creemos que las capturas de pantalla compartidas en línea están conectadas a este evento de enero. Según nuestra investigación hasta la fecha, no hay evidencia de actividad maliciosa en curso más allá de la actividad detectada en enero", agregó McKinnon.

Cloudflare, en respuesta, dijo que está restableciendo las credenciales de Okta de los empleados que han cambiado sus contraseñas en los últimos cuatro meses, por precaución.

A diferencia de los grupos de ransomware tradicionales que siguen el libro de jugadas de doble extorsión de robar datos de una víctima y luego cifrar esa información a cambio de un pago, el nuevo participante en el panorama de amenazas se centra más en el robo de datos y su uso para chantajear a los objetivos.

En los meses transcurridos desde que entró en funcionamiento a fines de diciembre de 2021, la banda de ciberdelincuentes ha acumulado una larga lista de víctimas de alto perfil, incluidas Impresa, NVIDIA, Samsung, Mercado Libre, Vodafone y, más recientemente, Ubisoft.

"Cualquier ataque exitoso contra un proveedor de servicios o desarrollador de software puede tener un mayor impacto más allá del alcance de ese ataque inicial", dijo Mike DeNapoli, arquitecto de seguridad principal de Cymulate, en un comunicado. "Los usuarios de los servicios y plataformas deben ser alertados sobre el hecho de que hay posibles ataques a la cadena de suministro contra los que habrá que defenderse".

 

Fuente: Thehackernews.com

Comments are closed.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies