El grupo hacker Lapsus$, conocido por afirmar haber pirateado a Nvidia, Samsung y más, esta semana afirmó que incluso ha pirateado a Microsoft. El grupo publicó un archivo que, según afirma, contiene código fuente parcial de Bing y Cortana en un archivo que contiene casi 37 GB de datos.
El martes por la noche, después de investigar, Microsoft confirmó que el grupo al que llama DEV-0537 comprometió “una sola cuenta” y robó partes del código fuente de algunos de sus productos. Una publicación de blog en su sitio de seguridad dice que los investigadores de Microsoft han estado rastreando al grupo Lapsus$ durante semanas y detalla algunos de los métodos que han usado para comprometer los sistemas de las víctimas. Según Microsoft Threat Intelligence Center (MSTIC), “el objetivo de los actores DEV-0537 es obtener un acceso elevado a través de credenciales robadas que permiten el robo de datos y ataques destructivos contra una organización objetivo, lo que a menudo resulta en extorsión. Las tácticas y los objetivos indican que se trata de un actor ciberdelincuente motivado por el robo y la destrucción”.
“Microsoft no confía en el secreto del código como medida de seguridad”
Tweet
Microsoft sostiene que el código filtrado no es lo suficientemente grave como para causar una elevación del riesgo y que sus equipos de respuesta cerraron la operación de los piratas informáticos.
Lapsus$ ha estado en una lágrima recientemente si se cree en sus afirmaciones. El grupo dice que ha tenido acceso a datos de Okta, Samsung y Ubisoft, así como de Nvidia y ahora de Microsoft. Si bien compañías como Samsung y Nvidia admitieron que sus datos fueron robados, Okta rechazó las afirmaciones del grupo de que tiene acceso a su servicio de autenticación, afirmando que “el servicio de Okta no ha sido violado y permanece en pleno funcionamiento“.
Microsoft:
Esta semana, el actor hizo afirmaciones públicas de que había obtenido acceso a Microsoft y extraído partes del código fuente. Ningún código de cliente o datos estaban involucrados en las actividades observadas. Nuestra investigación ha encontrado que una sola cuenta se vio comprometida, otorgando acceso limitado. Nuestros equipos de respuesta de seguridad cibernética se comprometieron rápidamente a remediar la cuenta comprometida y evitar más actividad.
Microsoft no confía en el secreto del código como medida de seguridad y la visualización del código fuente no conduce a una elevación del riesgo. Las tácticas DEV-0537 utilizadas en esta intrusión reflejan las tácticas y técnicas discutidas en este blog. Nuestro equipo ya estaba investigando la cuenta comprometida en base a inteligencia de amenazas cuando el actor reveló públicamente su intrusión. Esta divulgación pública intensificó nuestra acción, lo que permitió que nuestro equipo interviniera e interrumpiera al actor en medio de la operación, lo que limitó un impacto más amplio.
Esta no es la primera vez que Microsoft afirma que asume que los atacantes accederán a su código fuente; dijo lo mismo después del ataque de Solarwinds. Lapsus$ también afirma que solo obtuvo alrededor del 45 por ciento del código de Bing y Cortana, y alrededor del 90 por ciento del código de Bing Maps. Este último se siente como un objetivo menos valioso que los otros dos, incluso si a Microsoft le preocupaba que su código fuente revelara vulnerabilidades.
En su publicación de blog, Microsoft describe una serie de pasos que otras organizaciones pueden tomar para mejorar su seguridad, incluida la solicitud de autenticación multifactor, no usar métodos de autenticación multifactor “débiles” como mensajes de texto o correo electrónico secundario, educar a los miembros del equipo sobre el potencial de ataques de ingeniería social y la creación de procesos para posibles respuestas a los ataques de Lapsus$. Microsoft también dice que seguirá rastreando a Lapsus$, vigilando cualquier ataque que lleve a cabo contra los clientes de Microsoft.
socmono.com 