Noticias

Microsoft confirma que sus sistemas fueron pirateados por LAPSUS$ Group

Microsoft confirmó el martes que el grupo de piratería LAPSUS$ había obtenido «acceso limitado» a una cuenta, pero los equipos de seguridad frustraron el intento.

Para aquellos que no lo sabían, el domingo por la mañana, la pandilla LAPSUS$ había publicado un archivo que contenía casi 37 GB de datos robados del servidor Azure DevOps de Microsoft y afirmaba contener código fuente parcial para Bing, Cortana y otros proyectos.

“Las actividades observadas no involucraron ningún código o datos del cliente. Nuestra investigación encontró que una cuenta estaba comprometida, lo que resultó en un acceso limitado. Nuestros equipos de respuesta de seguridad cibernética actuaron rápidamente para mejorar el perfil de amenazas y evitar más actividades”. Microsoft explicó en una publicación de blog.

“Nuestros equipos de respuesta de seguridad cibernética actuaron rápidamente para remediar la cuenta comprometida y evitar más actividad. Microsoft no confía en la confidencialidad del código como medida de seguridad y ver el código fuente no aumenta el riesgo”.

El Centro de Inteligencia de Amenazas de Microsoft (MSTIC) dijo que sus investigadores han estado rastreando un grupo de amenazas durante semanas, al que llama DEV-0537, también conocido como LAPSUS$. Este es el mismo grupo de hackers que en las últimas semanas volcó públicamente los datos internos de empresas como Nvidia, Samsung, Vodafone, Ubisoft y Okta.

DEV-0537 es conocido por usar un modelo puro de rasgar y rasgar sin implementar cargas útiles de ransomware. Comenzó apuntando a organizaciones en el Reino Unido y América del Sur, pero se ha expandido a objetivos globales, incluidas organizaciones en los sectores de gobierno, tecnología, telecomunicaciones, medios, comercio minorista y atención médica. El grupo de piratería también es conocido por secuestrar cuentas de usuarios individuales en intercambios de criptomonedas para drenar las existencias de criptomonedas.

“A diferencia de la mayoría de los grupos de actividad que pasan desapercibidos, DEV-0537 no parece cubrir sus huellas. Llegan incluso a anunciar sus ataques en las redes sociales o su intención de comprar credenciales de empleados de las organizaciones objetivo”, dijo la compañía.

Según Microsoft, las otras tácticas del grupo incluyen esquemas de ingeniería social basados ​​en teléfonos, como el intercambio de tarjetas SIM para facilitar la adquisición de cuentas, el acceso a cuentas de correo electrónico personales de los empleados de las organizaciones objetivo, el pago a los empleados y proveedores de las organizaciones objetivo por el acceso a las credenciales y la evaluación de múltiples factores. autenticación (MFA) para aprobar sus objetivos e interrumpir las llamadas de comunicación de crisis en curso.

“Nuestro equipo estaba investigando la cuenta comprometida en base a inteligencia de amenazas cuando el actor reveló públicamente su participación. Esta exposición pública intensificó nuestra acción, lo que permitió que nuestro equipo interviniera e interrumpiera la operación intermedia del actor, lo que limitó un impacto más amplio”, agregó Microsoft.

Puede encontrar más información sobre las tácticas y técnicas utilizadas en esta presentación en el blog detallado aquí. Para evitar tales incidentes, Microsoft recomienda a las organizaciones que fortalezcan sus mecanismos de MFA, aprovechen las opciones de autenticación modernas para VPN como OAuth o SAML, mejoren la conciencia de los ataques de ingeniería social y fortalezcan la postura de seguridad en la nube y supervisen la interferencia en las operaciones de seguridad de LAPSUS$. .

HackNarrow

Informático de profesión, me dedico a probar nuevas versiones de hardware y verificar la seguridad e integridad de servidores y firewalls. Escribo un poco sobre novedades en la rama de la seguridad informática en general.

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba
error: Content is protected !!