0
0
O coletivo cibercriminoso Lapsus$ tem sido manchete nas últimas semanas. Depois de vários ataques de alto nível, a comunidade de segurança está voltando seu olhar para este novo ator de ameaças e suas técnicas.
O incidente de Okta também revela alguns detalhes de suas técnicas. A Microsoft publicou agora um post em profundidade no blog detalhando as atividades que observou associadas ao DEV-0537, seu nome de referência para Lapsus$. O blog de segurança cibernética Krebs on Security tem um mergulho mais profundo em algumas das atividades do grupo, confirmando várias das descobertas da Microsoft.
Ataque de alto perfil
Lapsus$ tem tomado crédito ou sido associado a uma série de ataques de alto perfil desde dezembro de 2021. Essa rápida ascensão à proeminência é interessante na medida em que cada um desses ataques envolvia uma demanda específica de extorsão.
As gangues de ransomware têm um foco claro nos lucros. Eles invadem seu sistema, bloqueiam seus dados e exigem pagamento para restaurar esse acesso. Recentemente, vimos gangues de ransomware dobrarem os lucros, ameaçando também liberar dados confidenciais depois que as organizações pagaram o resgate inicial.
Outros cibercriminosos buscam capturar seus recursos para revender no subsolo. Isso pode ser muito lucrativo, pois eles estão vendendo recursos que você está pagando.
A motivação por trás dos ataques de Lapsus$ é mais obscura. Parece alternar entre extorsão e caos. Isso torna mais difícil prever e conter os esforços do grupo.
Suporte de segmentação
Uma coisa que é clara é a técnica de acesso preferida do Lapsus$. É muito bom em explorar o fato de que seus usuários precisam trabalhar.
Com alguns ataques, o grupo tem como alvo recursos de apoio de terceiros para atacar seus alvos. O apoio à terceirização é comum para empresas de tecnologia. Essa relação cria uma vulnerabilidade que esse grupo cibercriminoso está explorando.
Usando técnicas de engenharia social, foi capaz de redefinir senhas de usuário e cooptar ferramentas de autenticação multifatorial (MFA) para obter acesso a credenciais legítimas em seus sistemas de vítimas.
Quando isso falha, o grupo não está acima de subornar funcionários para esse acesso. Na verdade, está ativamente anunciando essa abordagem. O grupo sabe que os funcionários de apoio, especialmente os de terceiros, são vulneráveis a subornos e o retorno do investimento faz com que essa abordagem valha a pena para Lapsus$.
Direcionamento de Usuários
Em seu post, a Microsoft fornece alguns detalhes mostrando como o grupo também tem como alvo os dispositivos pessoais dos usuários, a fim de obter informações sobre seus sistemas de trabalho.
Dispositivos pessoais não são normalmente monitorados, o que significa que há uma maior chance de que um invasor possa ganhar uma posição. Piorando as coisas, a maioria das pessoas usa seu dispositivo pessoal para MFA. Isso oferece uma oportunidade para o atacante, que Lapsus$ parece estar aproveitando.
O grupo também está implantando técnicas mais “padrão” como a ferramenta de senha Redline Stealer, comprando credenciais de outros compromissos e usando a Mimikatz para coletar senhas de redes a que tem acesso.
Uma vez que o grupo tenha acesso a credenciais legítimas, ele acessa a rede de uma organização e procura expandir essa base o mais rápido possível.
Obtendo acesso à nuvem
A Microsoft observou o grupo aproveitando o acesso à nuvem na AWS e no Azure. Ao contrário de quando o grupo exporta acesso ao usuário, a nuvem apresenta uma nova oportunidade.
Se ele for capaz de obter acesso às contas em nuvem de uma organização, ele se move para criar um administrador global e restringir todos os outros acessos, bloqueando efetivamente as equipes dessa infraestrutura em nuvem.
O que podemos aprender com o Lapsus$?
Dando um passo atrás, essas avenidas de ataque compartilham uma abordagem comum. Todos tentam aproveitar credenciais válidas e abusar de quaisquer permissões concedidas a essa identidade.
Capturas de tela da violação Okta mostram as ferramentas de trabalho típicas fornecidas para apoiar os engenheiros. Em mãos erradas, eles podem afetar negativamente sua reputação ou expor seus clientes… como vimos.
Esses ataques são um lembrete gritante de que a autenticação (quem é você?) e a autorização (o que você pode fazer?) são fundamentais para sua postura de segurança.
Para autenticação, uma forte estratégia de senha é imperdível. As últimas diretrizes do NIST são um ótimo ponto de partida. Se você ainda não os aplicou dentro de sua organização, esse trabalho deve começar imediatamente.
Basta colocar: frases longas, rodá-las quando houver um problema ou uma vez por ano, usar um gerenciador de senhas e usar MFA sempre que possível.
Quando se trata de autorização, o princípio do privilégio menos governa o dia. As concessões de permissão têm o péssimo hábito de expandir ao longo do tempo. As permissões devem ser regularmente revisadas e sobre o acesso provisionado removido.
Isso foi ruim?
Apesar de seus melhores esforços em torno de autenticação e autorização, uma brecha ainda pode acontecer. Há muito dinheiro em jogo para os cibercriminosos pararem de tentar.
Isso leva à pergunta: “Como você determina se as ações de uma entidade autorizada são maliciosas?”
Digamos que um sistema em sua conta na nuvem normalmente acessa um banco de dados a cada minuto. É um padrão bastante consistente que reflete o uso geral do sistema. O sistema está autorizado a acessar esse banco de dados, então provavelmente não há nada com que se preocupar.
Mas e se esse acesso se tornar mais frequente? Em que ponto isso muda de comportamento típico para anômo? Isso é difícil de responder.
Embora nenhum sistema seja perfeito, os controles de segurança baseados em detecção de anomalias podem ajudar a detectar comportamentos anormais e potencialmente maliciosos. Esses sistemas examinam comportamentos e constroem uma linha de base “típica” para esse contexto. Qualquer atividade fora dessa linha de base está sinalizada. Esse evento é então enriquecido e uma determinação feita.
Voltando ao sistema acessando o banco de dados, se esse acesso se tornar constante por alguns minutos e, em seguida, voltar à sua cadência regular “a cada minuto”, que poderia levantar uma bandeira para comportamento anormal. Combinado com outros indicadores, que poderiam permitir que sua equipe de segurança detectava um abuso de credenciais que estava voando sob o radar.
O que vem depois?
Nenhuma postura de segurança é perfeita. O coletivo Lapsus$ está mirando o maior ponto fraco na maioria das posturas de segurança: encontrar comportamentos anômalos por parte de entidades autorizadas.
Essa abordagem exige que as equipes de segurança fortaleçam suas práticas de autenticação e autorização para evitar o comprometimento de credenciais válidas. Ao mesmo tempo, as equipes devem monitorar continuamente seu ambiente para comportamentos fora do comum.
Mas segurança é mais do que apenas controles técnicos. As equipes também devem rever os processos e procedimentos utilizados por suas equipes de apoio (internas e terceirizadas). Ataques recentes têm lembrado à comunidade de segurança a importância desses procedimentos.
FONTE: DARK READING