Confirma Microsoft el hackeo de 37 Gb de Información confidencial

El grupo Lapsus$ se atribuyó el ataque y deja huellas de su intrusión

Por medio de una publicación en el blog oficial de Microsoft, la compañía confirma haber sido vulnerada por el grupo DEV-0537, mejor conocido como Lapsus$. La compañía ha estado investigando el incidente y tras un estudio minucioso ha confirmado que la vulneración de la seguridad fue por una sola cuenta, por medio de la cual se accedió a los sistemas de la empresa.

La ingeniería social, el origen de este ataque

De acuerdo a la investigación realizada el acceso a esos servidores era limitado y la cuenta del usuario fue bloqueada.

Microsoft Threat Intelligence Center (MSTIC) evalúa que el objetivo de DEV-0537 es el de obtener acceso elevado a través de credenciales robadas que habilitan el robo de datos y ataques destructivos dirigidos hacia una organización, a menudo resultando en extorsión. Las tácticas y los objetivos indican que se trata de un actor ciberdelincuente motivado por el robo y la destrucción.

Como comenta Microsoft, se confirma la forma de ataque de Lapsus$, se centran en obtener credenciales de cuentas con acceso a información sensible de las empresas, como podemos ver, este grupo de hackers no tiene reparo en reclutar gente de diversas compañías con accesos remotos ofreciéndoles una remuneración económica a cambio de otorgar sus credenciales, normalmente accesos de VPN o hasta por Anydesk!

Una vez dentro de la red de la empresa, el modus operandi es casi siempre el mismo y MSTIC ha publicado 4 principales huellas que deja a su paso Lapsus$

• Implementación del malware Redline para obtener contraseñas y tokens de sesión.
• La compra de credenciales y tokens de sesión por medio de foros clandestinos
• Pago a los empleados de las empresas objetivo (inclusive a proveedores o socios comerciales con acceso a la red) para acceder a las credenciales y a la aprobación de mecanismos de autenticación multifactor (MFA)
• Buscando en repositorios públicos credenciales filtradas

Redline es un malware que normalmente se propaga por técnicas de phishing y de esa manera logra robar credenciales de un usuario, normalmente incrustan este malware en correos o sitios web fraudulentos, una vez obtenida la credencial la utiliza para entrar a los sistemas de su víctima y robar información, de esta manera, este grupo se ha logrado infiltrar en servicios de administración de grandes compañías como Samsung, Nvidia y ahora Microsoft.

Una vez que entrar a los sistemas, los ciberdelincuentes se pueden beneficiar del control remoto ya sea por VPN, Escritorio virtual o hasta del directorio activo para cometer sus fechorías. Como podemos ver, Lapsus$ no tiene ninguna intención de esconder sus huellas, por el contrario, cada movimiento y ataque es publicado en sus redes sociales y en su canal de Telegram donde también reclutan a los empleados de las compañías interesadas

De sus anteriores ataques, lograron hacerse de más de 70,000 credenciales de empleados de Nvidia, así como el código de desarrollos, de futuras tarjetas gráficas y de Samsung filtraron un total de 190 GB de código de distintos celulares de la compañía, desde los bootloaders, hasta los algoritmos de cifrado. Lapsus$ es una amenaza real y un grupo con suficientes recursos como para acceder a datos de las principales compañías a nivel mundial

¿Qué esperar nosotros como usuarios?

Nuestros expertos en My Digital Manager recomiendan que como consumidores y usuarios de las marcas o de las empresas que son vulneradas, lo más recomendable en este momento es usar contraseñas individuales al menos para tus servicios en internet mas críticos como pueden ser banca electrónica, redes sociales o correos electrónicos, obviamente es básico el proceder a realizar cambios de contraseñas en todo sitio que informen que fue comprometido por este o cualquier otro grupo de ciberdelincuentes