LastPass, que en diciembre de 2022 reveló una grave violación de datos que permitió a los actores de amenazas acceder a bóvedas de contraseñas cifradas, dijo que sucedió como resultado de que el mismo adversario lanzó un segundo ataque a sus sistemas.
La compañía dijo que uno de sus ingenieros de DevOps violó e infectó su computadora personal con un registrador de teclas como parte de un ataque cibernético sostenido que extrajo datos confidenciales de sus servidores de almacenamiento en la nube de Amazon AWS.
«El actor de amenazas aprovechó la información robada durante el primer incidente, la información disponible de una violación de datos de terceros y una vulnerabilidad en un paquete de software de medios de terceros para lanzar un segundo ataque coordinado», dijo el servicio de administración de contraseñas. dicho.
Esta intrusión tuvo como objetivo la infraestructura, los recursos y uno de sus empleados de la empresa desde el 12 de agosto de 2022 hasta el 26 de octubre de 2022. El incidente original, por otro lado, terminó el 12 de agosto de 2022.
En la filtración de agosto, los intrusos accedieron al código fuente y a la información técnica patentada de su entorno de desarrollo por medio de una sola cuenta de empleado comprometida.
En diciembre de 2022, LastPass reveló que el actor de amenazas aprovechó la información robada para acceder a un entorno de almacenamiento basado en la nube y obtener «ciertos elementos de la información de nuestros clientes».
Más tarde en el mismo mes, se reveló que el atacante desconocido había obtenido acceso a una copia de seguridad de los datos de la bóveda del cliente que, según dijo, estaba protegida con cifrado AES de 256 bits. No divulgó qué tan reciente fue la copia de seguridad.
GoTo, la empresa matriz de LastPass, también admitió una infracción el mes pasado derivada del acceso no autorizado al servicio de almacenamiento en la nube de terceros.
Ahora, según la compañía, el actor de amenazas participó en una nueva serie de «actividades de reconocimiento, enumeración y exfiltración» dirigidas a su servicio de almacenamiento en la nube entre agosto y octubre de 2022.
«Específicamente, el actor de amenazas pudo aprovechar las credenciales válidas robadas de un ingeniero senior de DevOps para acceder a un entorno de almacenamiento en la nube compartido», dijo LastPass, y agregó que el ingeniero «tenía acceso a las claves de descifrado necesarias para acceder al servicio de almacenamiento en la nube».
Esto permitió que el actor malicioso obtuviera acceso a los cubos de AWS S3 que albergaban copias de seguridad de los datos de la bóveda cifrada y del cliente de LastPass, señaló además.
Se dice que las contraseñas de los empleados fueron desviadas apuntando a la computadora de la casa del individuo y aprovechando un «paquete de software de medios de terceros vulnerable» para lograr la ejecución remota de código y plantar un software de registro de teclas.
«El actor de amenazas pudo capturar la contraseña maestra del empleado tal como se ingresó, después de que el empleado se autenticó con MFA, y obtuvo acceso a la bóveda corporativa de LastPass del ingeniero de DevOps», dijo LastPass.
LastPass no reveló el nombre del software de medios de terceros utilizado, pero hay indicios de que podría ser Plex basado en el hecho de que sufrió una ruptura propia a finales de agosto de 2022.
Después del incidente, LastPass dijo que mejoró su postura de seguridad al rotar las credenciales críticas y de alto privilegio y volver a emitir los certificados obtenidos por el actor de amenazas, y que aplicó medidas adicionales de fortalecimiento de S3 para implementar mecanismos de registro y alerta.
Se recomienda encarecidamente a los usuarios de LastPass que cambien sus contraseñas maestras y todas las contraseñas almacenadas en sus bóvedas para mitigar los riesgos potenciales, si aún no lo han hecho.