“Nuestra investigación ha descubierto que una sola cuenta fue comprometida, concediendo un acceso limitado, nuestros equipos de respuesta de ciberseguridad se comprometieron rápidamente a remediar la cuenta comprometida y evitar más actividad” - escribió Microsoft
El día de ayer, se informó que Microsoft había sido hacheado por Lapsus$, grupo conocido por haber hackeado anteriormente a Nvidia, Samsung y otras compañías. Éste, lanzó 37 GB de código fuente robado del servidor Azure DevOps de Microsoft, utilizado para varios proyectos internos de la compañía, incluidos Bing, Cortana y Bing Maps. Microsoft confirmó que el grupo al que llama DEV-0537 comprometió “una sola cuenta” y robó partes del código fuente de algunos de sus productos, el objetivo es obtener un acceso elevado a través de credenciales robadas que permiten el robo de datos y ataques destructivos contra una organización objetivo, lo que a menudo resulta en extorsión.
Microsoft sostuvo que el código filtrado no es lo suficientemente grave como para causar una elevación del riesgo y que sus equipos de respuesta cerraron la operación de los piratas informáticos. Ahora se encuentran rastreando al grupo de extorsión de datos Lapsus$ como ‘DEV-0537’ y dice que se enfocan principalmente en obtener credenciales comprometidas para el acceso inicial a las redes corporativas.
Estas credenciales se obtienen utilizando los siguientes métodos:
- Implementación del ladrón de contraseñas malicioso Redline para obtener contraseñas y tokens de sesión
- Compra de credenciales y tokens de sesión en foros clandestinos criminales
- Pagar a los empleados de las organizaciones específicas (o proveedores/socios comerciales) por el acceso a las credenciales y la aprobación de la autenticación multifactor (MFA)
- Búsqueda de repositorios de códigos públicos para credenciales expuestas
Microsoft hizo estas recomendaciones para que las entidades corporativas puedan protegerse contra actores de amenazas como Lapsus$:
- Fortalecer la implementación de MFA
- Requerir puntos finales saludables y confiables
- Aproveche las opciones de autenticación modernas para las VPN
- Fortalezca y supervise su postura de seguridad en la nube
- Mejorar el conocimiento de los ataques de ingeniería social
- Establecer procesos de seguridad operativa en respuesta a las intrusiones DEV-0537
Es ampliamente recomendado que los administradores de redes y seguridad de todas las empresas, y en general todos los que tengan acceso a información sensible, estén familiarizados con las tácticas utilizadas por este grupo. ¿Te gustaría estar preparado ante esta y otras amenazas del mercado? Contáctanos
