Métodos de ataque de Lapsus$

Primero fueron Samsung y Nvidia, después Mercado Libre y ahora Microsoft. Las cuatro empresas han sido atacadas por el grupo de hackers LAPSUS$, en algunos casos dejando expuestos datos sensibles de sus usuarios. Hace unos días el grupo de piratas cibernéticos publicó un archivo con parte del código fuente de Bing y de Cortana en su canal de Telegram. El 22 de marzo Microsoft el hackeo a través un blog de la empresa en el que explicó que el ataque se dio a través de la cuenta de un usuario de la empresa

A partir de entonces Microsoft está rastreando al grupo de extorsión Lapsus$ como ‘DEV-0537’, el cual se enfoca principalmente en obtener credenciales comprometidas para el acceso inicial a las redes corporativas.

Los integrantes de DEV-0537 centraron sus esfuerzos de ingeniería social para recopilar conocimientos sobre las operaciones comerciales de su objetivo. Dicha información incluye conocimiento íntimo sobre los empleados, las estructuras de los equipos, las mesas de ayuda, los flujos de trabajo de respuesta a crisis y las relaciones de la cadena de suministro. Ejemplos de estas tácticas de ingeniería social incluyen enviar spam a un usuario objetivo con indicaciones de autenticación multifactor (MFA) y llamar a la mesa de ayuda de la organización para restablecer las credenciales de un objetivo.

Estas credenciales se obtienen utilizando los siguientes métodos:

  • Instalación de Redline password stealer para obtener contraseñas y tokens de sesión.
  • Compra de credenciales y tokens de sesión en foros clandestinos y criminales
  • Pagar a los empleados de las organizaciones específicas (o proveedores/socios comerciales) por el acceso a las credenciales y la aprobación de la autenticación multifactor (MFA).
  • Búsqueda en repositorios de códigos públicos para obtener credenciales expuestas

Redline se ha convertido en el malware elegido para robar credenciales y se distribuye comúnmente a través de correos electrónicos de phishing, watering holes, sitios warez y videos de YouTube.

Una vez que Laspsus$ obtiene acceso a las credenciales comprometidas, las utilizan para iniciar sesión en los dispositivos y sistemas públicos de una empresa, incluidas las VPN, la infraestructura de escritorio virtual o los servicios de administración de identidades, como Okta, que violaron en enero.

Microsoft dice que usan ataques de repetición de sesión para cuentas que utilizan MFA, o activan continuamente notificaciones de MFA hasta que el usuario se cansa de ellas y confirma que se le debe permitir iniciar sesión.

En al menos una oportunidad, Lapsus$ realizó un ataque de intercambio de SIM para obtener el control de los números de teléfono y los mensajes de texto del usuario para obtener acceso a los códigos MFA necesarios para iniciar sesión en una cuenta.

Una vez que obtienen acceso a una red, los actores de amenazas usan AD Explorer para encontrar cuentas con privilegios altos y luego apuntan a plataformas de desarrollo y colaboración, como SharePoint, Confluence, JIRA, Slack y Microsoft Teams, donde se roban otras credenciales.

El grupo también usa estas credenciales para obtener acceso a los repositorios de código fuente en GitLab, GitHub y Azure DevOps, como vimos con el ataque a Microsoft.

«También se sabe que DEV-0537 explota vulnerabilidades en Confluence, JIRA y GitLab para escalar privilegios», explica Microsoft en su informe.

Protección contra Lapsus$

Microsoft recomienda que las entidades corporativas realicen los siguientes pasos para protegerse contra actores de amenazas como Lapsus$:

  • Fortalecer la implementación de MFA
  • Requerir puntos finales saludables y confiables
  • Aprovechar las opciones de autenticación modernas para las VPN
  • Fortalecer y supervisar la postura de seguridad en la nube
  • Mejorar el conocimiento de los ataques de ingeniería social
  • Establecer procesos de seguridad operativa en respuesta a las intrusiones DEV-0537

Lapsus$ ha realizado recientemente numerosos ataques contra la empresa, incluidos NVIDIA, Samsung, Vodafone, Ubisoft, Mercado Libre, y ahora Microsoft.

Por lo tanto, se recomienda encarecidamente que los administradores de seguridad y de red se familiaricen con las tácticas utilizadas por este grupo al leer el informe de Microsoft.

BC, Microsoft, SeguInfo

Queremos seguir creando cursos gratuitos en nuestro canal de YouTube. Solo te pedimos tu ayuda para crecer más. Suscríbete por favor. (Cursos, talleres y charlas gratis para ti).

Ernesto Mota
Ernesto Mota
Nací en el d.f., sigo siendo defeño, hoy radico en la hermosa ciudad de Cuernavaca, Morelos, soy Ing. en Sistemas computacionales, con un posgrado en Tecnologías de información, Doctorando en ambientes virtuales de aprendizaje y realidad aumentada, Tecnólogo es mi categoría laboral, y mi linea de investigación es la realidad aumentada aplicada a nuevos entornos de aprendizaje.

Últimos artículos

a

Publicasciones relaciodadas

CURSOS PROFESIONALES DE TECNOLOGÍA VER CURSOS
¿Quieres ganar una membresía anual? ¡Claro!