Microsoft confirm\u00f3 el martes que el equipo de hacking centrado en la extorsi\u00f3n de LAPSUS$ hab\u00eda obtenido “acceso limitado” a sus sistemas, ya que el proveedor de servicios de autenticaci\u00f3n Okta revel\u00f3 que casi el 2,5% de sus clientes se vieron potencialmente afectados a ra\u00edz de la filtraci\u00f3n.<\/p>\n
“Ning\u00fan c\u00f3digo o datos del cliente estuvieron involucrados en las actividades observadas”, dijo el Centro de Inteligencia de Amenazas de Microsoft (MSTIC), y agreg\u00f3 que la violaci\u00f3n se facilit\u00f3 por medio de una sola cuenta comprometida que desde entonces se ha remediado para evitar m\u00e1s actividades maliciosas.<\/p>\n
El fabricante de Windows, que ya estaba rastreando al grupo bajo el nombre DEV-0537 antes de la divulgaci\u00f3n p\u00fablica, dijo<\/a> “no se basa en el secreto del c\u00f3digo como medida de seguridad y ver el c\u00f3digo fuente no conduce a una elevaci\u00f3n del riesgo”.<\/p>\n “Esta divulgaci\u00f3n p\u00fablica intensific\u00f3 nuestra acci\u00f3n, lo que permiti\u00f3 que nuestro equipo interviniera e interrumpiera al actor en medio de la operaci\u00f3n, lo que limit\u00f3 un impacto m\u00e1s amplio”, se\u00f1alaron los equipos de seguridad de la compa\u00f1\u00eda.<\/p>\n La empresa de gesti\u00f3n de acceso e identidad Okta, que tambi\u00e9n reconoci\u00f3 el incumplimiento<\/a> a trav\u00e9s de la cuenta de un ingeniero de atenci\u00f3n al cliente que trabaja para un proveedor externo, dijo que los atacantes tuvieron acceso a la computadora port\u00e1til del ingeniero durante un per\u00edodo de cinco d\u00edas entre el 16 y el 21 de enero, pero que el servicio en s\u00ed no se vio comprometido.<\/p>\n La firma de software en la nube con sede en San Francisco tambi\u00e9n dijo que identific\u00f3 a los clientes afectados y que los est\u00e1 contactando directamente, y enfatiz\u00f3 que “el servicio de Okta est\u00e1 completamente operativo y no hay acciones correctivas que nuestros clientes deban tomar”.<\/p>\n “En el caso del compromiso de Okta, no ser\u00eda suficiente simplemente cambiar la contrase\u00f1a de un usuario”, empresa de infraestructura web Cloudflare dijo<\/a> en un an\u00e1lisis post mortem del incidente. “El atacante tambi\u00e9n necesitar\u00eda cambiar el token de hardware (FIDO) configurado para el mismo usuario. Como resultado, ser\u00eda f\u00e1cil detectar las cuentas comprometidas en funci\u00f3n de las claves de hardware asociadas”.<\/p>\n Dicho esto, de particular preocupaci\u00f3n es el hecho de que Okta no revel\u00f3 p\u00fablicamente la violaci\u00f3n durante dos meses, lo que llev\u00f3 al grupo ciberdelincuente a preguntarse “\u00bfPor qu\u00e9 esperar tanto?”. en su declaraci\u00f3n contraria.<\/p>\n LAPSUS$ tambi\u00e9n ha afirmado en su refutaci\u00f3n que Okta estaba almacenando claves de Amazon Web Services (AWS) dentro de Slack y que los ingenieros de soporte parecen tener “acceso excesivo” a la plataforma de comunicaciones. “El impacto potencial para los clientes de Okta NO es limitado, estoy bastante seguro de que restablecer las contrase\u00f1as y MFA resultar\u00eda en un compromiso completo de los sistemas de muchos clientes”, explic\u00f3 la pandilla.<\/p>\n Microsoft expone las t\u00e1cticas de LAPSUS$ LAPSUS$, que surgi\u00f3 por primera vez en julio de 2021, ha estado en una ola de pirater\u00eda en los \u00faltimos meses, apuntando a una gran cantidad de empresas durante el per\u00edodo intermedio, incluidas Impresa, el Ministerio de Salud de Brasil, Claro, Embratel, NVIDIA, Samsung, Mercado Libre, Vodafone , y m\u00e1s recientemente Ubisoft.<\/p>\n El modus operandi del grupo motivado financieramente ha sido relativamente sencillo: irrumpir en la red de un objetivo, robar datos confidenciales y chantajear a la empresa v\u00edctima para que pague publicando fragmentos de los datos robados en su canal de Telegram.<\/p>\n Microsoft describi\u00f3 a LAPSUS$ como un grupo que sigue un “modelo puro de extorsi\u00f3n y destrucci\u00f3n sin implementar cargas \u00fatiles de ransomware” y que “no parece cubrir sus huellas”.<\/p>\n Otras t\u00e1cticas adoptadas por la tripulaci\u00f3n incluyen esquemas de ingenier\u00eda social basados \u200b\u200ben tel\u00e9fonos, como el intercambio de tarjetas SIM para facilitar la toma de control de cuentas, acceder a cuentas de correo electr\u00f3nico personales de empleados en organizaciones objetivo, sobornar a empleados, proveedores o socios comerciales de empresas para acceder e inmiscuirse en el llamadas continuas de respuesta a la crisis de sus objetivos para iniciar demandas de extorsi\u00f3n.<\/p>\n Tambi\u00e9n se ha observado LAPSUS$ desplegando el Ladr\u00f3n de l\u00ednea roja<\/a> eso est\u00e1 disponible para la venta en foros clandestinos para obtener contrase\u00f1as y tokens de sesi\u00f3n, adem\u00e1s de comprar credenciales y tokens de acceso de los mercados de la web oscura, as\u00ed como buscar en los repositorios de c\u00f3digos p\u00fablicos las credenciales expuestas, para obtener un punto de apoyo inicial.<\/p>\n![\"Copias](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/02\/Nuevo-malware-de-limpiaparabrisas-dirigido-a-Ucrania-en-medio-de.png\")
<\/a><\/div>\n\n
\n<\/h2>\n![\"\"](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEjisIPpodV75qkUmV4dj_T5Gg99Xm_cdDCg3lx9IxQFIc45iWaLqOt2BBBwzlA0UnWN3gEZyNDW9-r09GfbagV64tLLE_hvmeRgVgipC9iaAqHFvQkiGC-PP9VOJLrEvYr27K9cms1vwkmT0-_qxSI-fgJZi5QG4Yql8WS2L0zrRvstqCarmrB2tar8\/s728-e100\/leak.jpg\")
<\/div>\n
![\"Evitar](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/03\/1647430291_958_El-gobierno-aleman-advierte-contra-el-uso-del-software-antivirus.jpeg\")
<\/a><\/div>\n