Microsoft y el proveedor de servicios de autenticación Okta dijeron que están investigando las denuncias de una posible violación alegada por la banda de extorsionadores de LAPSUS$.
El desarrollo, que fue informado por primera vez por Vicio y Reutersse produce después de que el grupo ciberdelincuente publicara capturas de pantalla y el código fuente de lo que dijo que eran los proyectos y sistemas internos de las empresas en su canal de Telegram.
El archivo de 37 GB filtrado muestra que el grupo pudo haber accedido a los repositorios relacionados con Bing, Bing Maps y Cortana de Microsoft, con el imágenes destacando la suite Atlassian de Okta y los canales internos de Slack.
“Para un servicio que impulsa los sistemas de autenticación de muchas de las corporaciones más grandes (y aprobado por FEDRAMP), creo que estas medidas de seguridad son bastante deficientes”, escribió el cartel de piratería en Telegram.
Además de esto, el grupo alegó que violó a LG Electronics (LGE) por “segunda vez” en un año.
Bill Demirkapi, un investigador de seguridad independiente, señalado que “LAPSUS$ parece haber obtenido acceso al inquilino de Cloudflare con la capacidad de restablecer las contraseñas de los empleados”, y agregó que la empresa “no reconoció públicamente ninguna infracción durante al menos dos meses”.
Desde entonces, LAPSUS$ ha aclarado que no violó las bases de datos de Okta y que “nuestro enfoque SOLO estaba en los clientes de Okta”. Esto podría tener serias implicaciones para otras agencias gubernamentales y empresas que confían en Okta para autenticar el acceso de los usuarios a los sistemas internos.
“A fines de enero de 2022, Okta detectó un intento de comprometer la cuenta de un ingeniero de atención al cliente externo que trabajaba para uno de nuestros subprocesadores. El subprocesador investigó y contuvo el asunto”, dijo el director ejecutivo de Okta, Todd McKinnon. dijo en un tuit.
“Creemos que las capturas de pantalla compartidas en línea están conectadas con este evento de enero. Según nuestra investigación hasta la fecha, no hay evidencia de actividad maliciosa en curso más allá de la actividad detectada en enero”, agregó McKinnon.
Cloudflare, en respuesta, dijo está restableciendo las credenciales de Okta de los empleados que cambiaron sus contraseñas en los últimos cuatro meses, por precaución.
A diferencia de los grupos de ransomware tradicionales que siguen el manual de doble extorsión de robar datos de una víctima y luego cifrar esa información a cambio de un pago, el nuevo participante en el panorama de amenazas se enfoca más sobre el robo de datos y su uso para chantajear a los objetivos.
En los meses transcurridos desde que se activó a fines de diciembre de 2021, la pandilla del cibercrimen ha acumulado una larga lista de víctimas de alto perfil, incluidas Impresa, NVIDIA, Samsung, Mercado Libre, Vodafone y, más recientemente, Ubisoft.
“Cualquier ataque exitoso contra un proveedor de servicios o un desarrollador de software puede tener un impacto mayor que el alcance de ese ataque inicial”, dijo Mike DeNapoli, arquitecto principal de seguridad de Cymulate, en un comunicado. “Se debe alertar a los usuarios de los servicios y plataformas sobre el hecho de que existen posibles ataques a la cadena de suministro de los que será necesario defenderse”.