0
0
O momento dos ataques de Lapsus$ não poderia ser pior.
À medida que os defensores da rede empresarial absorviam avisos sobre a guerra cibernética e confirmavam relatos de ataques de limpadores de estado-nação e ransomware, a gangue de hackers Lapsus$ entrou em público com provocações e evidências de hacks de roubo de dados contra marcas proeminentes NVIDIA, Samsung e Ubisoft.
Mais tarde, a Microsoft e a Okta seriam arrastadas para o pool de vítimas com Redmond documentando publicamente “uma campanha de engenharia social e extorsão em larga escala” e okta estragando suas comunicações com clientes sobre a extensão de sua violação.
O caos — e as controvérsias em curso — causados pelo Lapsus$ (a Microsoft os chama de DEV-0537) é a confirmação de que superfícies de ataque e dependências de fornecedores de terceiros expõem superfícies de ataque quase impossíveis de defender. Pior, confirma que mesmo as organizações mais bem-aproveitadas com os melhores talentos de segurança podem ser vítimas de atacantes qualificados e motivados.
O post da Microsoft no blog lapsus$ conta a história de um grupo livremente organizado deixando um rastro de destruição após ataques de hackers bem-sucedidos contra várias organizações em todo o mundo.
“[O grupo é] conhecido por usar um modelo de extorsão e destruição pura sem implantar cargas de ransomware”, alertou a Microsoft em uma nota reconhecendo que seus próprios sistemas foram comprometidos nas incursões de alto perfil.
Aqui está a confirmação da Microsoft:
Nesta semana, o ator fez afirmações públicas de que havia obtido acesso à Microsoft e exfiltrado partes do código fonte. Nenhum código ou dados do cliente estava envolvido nas atividades observadas. Nossa investigação descobriu que uma única conta foi comprometida, concedendo acesso limitado.
Nossa equipe já estava investigando a conta comprometida com base na inteligência de ameaças quando o ator divulgou publicamente sua intrusão. Essa divulgação pública agravou nossa ação permitindo que nossa equipe interviesse e interrompesse o ator no meio da operação, limitando o impacto mais amplo.”
A Microsoft alertou que o grupo expandiu sua lista de alvos para organizações em todo o mundo, incluindo entidades nos setores de governo, tecnologia, telecomunicações, mídia, varejo e saúde e estava usando táticas descaradas para espionar os respondentes de incidentes durante incidentes ao vivo.
“O DEV-0537 também é conhecido por assumir contas individuais de usuários em exchanges de criptomoedas para drenar participações em criptomoedas”, disse a Microsoft, descrevendo táticas que incluem engenharia social baseada em telefone, troca de SIM, hackear contas pessoais de funcionários e até mesmo pagar informações privilegiadas para acesso a uma rede corporativa.
“DEV-0537 não parece cobrir seus rastros. Eles chegam ao ponto de anunciar seus ataques nas mídias sociais ou anunciar sua intenção de comprar credenciais de funcionários de organizações-alvo”, observou Redmond.
Para a Okta, uma empresa de capital aberto com capitalização de mercado de US$ 23 bilhões, a publicação de capturas de tela e provocações da Lapsus$ levou a um desastre de relações públicas que incluiu múltiplas tentativas de descrever com precisão o raio da explosão, e críticas amargas de líderes proeminentes da segurança cibernética.
Depois de várias declarações enigmáticas que pareciam minimizar a gravidade do compromisso, a Okta finalmente confirmou que 366 de seus clientes (cerca de 2,5%) “podem ter sido potencialmente impactados e cujos dados podem ter sido vistos ou adotos”.
O chefe de segurança da empresa, David Bradbury, publicou uma linha do tempo que confirmou que Okta ficou sabendo do incidente em meados de janeiro, mas não comunicou nada publicamente até que Lapsus$ divulgou capturas de tela três meses depois.
Okta, uma empresa que fornece tecnologia de gerenciamento de identidade e acesso para aproximadamente 15.000, havia afirmado anteriormente que um invasor tinha acesso limitado a um laptop durante uma janela de cinco dias e que os clientes não foram afetados, mas a confusão e a falta de transparência não ficaram bem com os clientes.
Amit Yoran, presidente e CEO da Tenable, não mediu palavras.” Dois meses é muito tempo. Esse compromisso deveria ter sido divulgado quando a Okta o detectou em janeiro ou após uma análise forense competente e oportuna”, disse Yoran em uma carta aberta à Okta publicada no LinkedIn.
“Nenhum indicador de compromisso foi publicado, nenhuma prática recomendada e nenhuma orientação foi divulgada sobre como mitigar qualquer potencial aumento de risco. Como cliente, tudo o que podemos dizer é que Okta não nos contatou. E, pelo que sabemos, não somos afetados pela brecha. Por uma abundância de cautela, estamos tomando o que acreditamos ser ações lógicas para minimizar a exposição”, declarou Yoran.
Vários CISOs pesquisados pela SecurityWeek confirmaram que os incidentes de Lapsus$ adicionaram “custo significativo” até mesmo aos programas de segurança mais maduros.
“Toda vez que há uma captura de tela do Twitter, temos que iniciar um processo de resposta a incidentes para ver se estamos envolvidos nisso. Obviamente, quando o nome de Okta é mencionado, seus ouvidos se animam”, disse um proeminente líder de segurança de uma empresa de serviços financeiros com sede em Dallas, Texas.
“Está tudo interconectado. Se a Microsoft está comprometida, temos que lutar. Se Okta está comprometida, temos que lutar”, acrescentou.
“Você está assumindo o pior cenário e procurando determinar e limitar o raio de explosão. Nós realmente dependemos de fornecedores para ser transparente e honesto. Se eu não puder depender de você para ser transparente e oportuno, provavelmente estarei procurando alternativas.”
Os hacks lapsus$ também ressaltam a leve parte do compartilhamento de dados e o acesso de dados entre fornecedores e provedores terceirizados e a maneira como várias técnicas de hacking podem ser combinadas para causar danos graves.
“Tenha em mente, não há fantasia zero-dias envolvidos. Eles estão [Lapsus$] está mostrando que você não tem que usar zero-dias ou explorações inteligentes. Eles estão explorando um sistema inteiro onde os dados estão fluindo em todos os lugares e nós realmente não temos os controles para gerenciá-los.”
A Microsoft recomenda que as organizações adotem livros de reprodução de gerenciamento de riscos para mitigar danos da engenharia social e táticas centradas em identidades usadas pela gangue Lapsus$
Estes incluem o uso obrigatório da tecnologia MFA (autenticação multifatorial) para todos os usuários de todos os locais, incluindo até mesmo ambientes perceptivos confiáveis. A implantação do MFA também deve incluir toda a infraestrutura inter-frontal, mesmo aquelas provenientes de locais on-prem.
Redmond também está pedindo às empresas que usem opções modernas de autenticação (OAuth ou SAML conectado ao Azure AD) para permitir a detecção de login baseada em riscos e fortalecer e monitorar implantações de segurança na nuvem para sinais de atividade maliciosa.
FONTE: SECURITY WEEK