Uber culpa al grupo de hackers LAPSUS$ por una reciente brecha de seguridad

Uber reveló el lunes más detalles relacionados con el incidente de seguridad que ocurrió la semana pasada, atribuyendo el ataque a un actor de amenazas que cree que está afiliado al notorio grupo de piratería LAPSUS$.

“Este grupo generalmente usa técnicas similares para atacar a las empresas de tecnología, y solo en 2022 ha violado a Microsoft, Cisco, Samsung, NVIDIA y Okta, entre otros”, dijo la compañía con sede en San Francisco en una actualización.

La banda de extorsionadores con motivación financiera recibió un duro golpe en marzo de 2022 cuando la policía de la ciudad de Londres se movió para arrestar a siete presuntos miembros de la banda LAPSUS$ de entre 16 y 21 años. Semanas después, dos de ellos fueron acusados ​​por sus acciones.

El hacker detrás de la violación de Uber, un adolescente de 18 años que se hace llamar Tea Pot, también se atribuyó la responsabilidad de irrumpir en el fabricante de videojuegos Rockstar Games durante el fin de semana.

uber

Uber dijo que está trabajando con "varias firmas forenses digitales líderes" mientras continúa la investigación de la compañía sobre el incidente, además de coordinar con la Oficina Federal de Investigaciones (FBI) de EE. UU. y el Departamento de Justicia sobre el asunto.

En cuanto a cómo se desarrolló el ataque, la empresa de viajes compartidos dijo que un "contratista de EXT" vio comprometido su dispositivo personal con malware y sus credenciales de cuenta corporativa fueron robadas y vendidas en la web oscura, lo que corrobora un informe anterior de Group-IB.

La empresa con sede en Singapur, la semana anterior, señaló que al menos dos de los empleados de Uber ubicados en Brasil e Indonesia estaban infectados con los ladrones de información Raccoon y Vidar .

“El atacante intentó repetidamente iniciar sesión en la cuenta de Uber del contratista”, dijo la compañía. "Cada vez, el contratista recibió una solicitud de aprobación de inicio de sesión de dos factores, que inicialmente bloqueó el acceso. Sin embargo, finalmente, el contratista aceptó una y el atacante inició sesión con éxito".

Al establecerse, se dice que el malhechor accedió a las cuentas de otros empleados, lo que equipó a la parte malintencionada con permisos elevados para "varios sistemas internos", como Google Workspace y Slack.

La compañía dijo además que tomó una serie de medidas como parte de sus medidas de respuesta a incidentes, incluida la desactivación de las herramientas afectadas, la rotación de claves de los servicios, el bloqueo de la base de código y también el bloqueo de las cuentas de los empleados comprometidos para que no accedan a los sistemas de Uber o, alternativamente, la emisión de un restablecimiento de contraseña para esas cuentas

Uber no reveló cuántas cuentas de empleados se vieron potencialmente comprometidas, pero reiteró que no se realizaron cambios de código no autorizados y que no había evidencia de que el pirata informático tuviera acceso a los sistemas de producción que respaldan sus aplicaciones orientadas al cliente.

Dicho esto, se dice que el presunto pirata informático adolescente descargó una cantidad no especificada de mensajes internos de Slack e información de una herramienta interna utilizada por su equipo de finanzas para administrar ciertas facturas.

Uber también confirmó que el atacante accedió a los informes de error de HackerOne, pero señaló que "cualquier informe de error al que el atacante pudo acceder ha sido remediado".

"Solo hay una solución para hacer que la [autenticación de múltiples factores] basada en push sea más resistente y es capacitar a sus empleados, que usan MFA basado en push, sobre los tipos comunes de ataques en su contra, cómo detectar esos ataques y cómo mitigarlos e informarlos si ocurren", dijo Roger Grimes, evangelista de defensa basada en datos de KnowBe4, en un comunicado.

Chris Clements, vicepresidente de arquitectura de soluciones en Cerberus Sentinel, dijo que es crucial que las organizaciones se den cuenta de que MFA no es una solución milagrosa y que no todos los factores son iguales.

 

Fuente: Thehackernews.

Comments are closed.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies