Microsoft a confirm\u00e9 mardi que l’\u00e9quipe de piratage ax\u00e9e sur l’extorsion de dollars LAPSUS avait obtenu un “acc\u00e8s limit\u00e9” \u00e0 ses syst\u00e8mes, car le fournisseur de services d’authentification Okta a r\u00e9v\u00e9l\u00e9 que pr\u00e8s de 2,5 % de ses clients ont \u00e9t\u00e9 potentiellement touch\u00e9s \u00e0 la suite de la violation.<\/p>\n
“Aucun code ou donn\u00e9e client n’a \u00e9t\u00e9 impliqu\u00e9 dans les activit\u00e9s observ\u00e9es”, a d\u00e9clar\u00e9 le Threat Intelligence Center (MSTIC) de Microsoft, ajoutant que la violation avait \u00e9t\u00e9 facilit\u00e9e au moyen d’un seul compte compromis qui a depuis \u00e9t\u00e9 corrig\u00e9 pour emp\u00eacher de nouvelles activit\u00e9s malveillantes.<\/p>\n
Le fabricant de Windows, qui suivait d\u00e9j\u00e0 le groupe sous le nom de DEV-0537 avant la divulgation publique, mentionn\u00e9<\/a> il “ne repose pas sur le secret du code comme mesure de s\u00e9curit\u00e9 et la visualisation du code source n’entra\u00eene pas d’\u00e9l\u00e9vation du risque”.<\/p>\n “Cette divulgation publique a intensifi\u00e9 notre action, permettant \u00e0 notre \u00e9quipe d’intervenir et d’interrompre l’acteur en cours d’op\u00e9ration, limitant ainsi un impact plus large”, ont not\u00e9 les \u00e9quipes de s\u00e9curit\u00e9 de l’entreprise.<\/p>\n La soci\u00e9t\u00e9 de gestion des identit\u00e9s et des acc\u00e8s Okta, qui a reconnu la violation<\/a> via le compte d’un ing\u00e9nieur du support client travaillant pour un fournisseur tiers, a d\u00e9clar\u00e9 que les attaquants avaient acc\u00e8s \u00e0 l’ordinateur portable de l’ing\u00e9nieur pendant une fen\u00eatre de cinq jours entre le 16 et le 21 janvier, mais que le service lui-m\u00eame n’\u00e9tait pas compromis.<\/p>\n La soci\u00e9t\u00e9 de logiciels cloud bas\u00e9e \u00e0 San Francisco a \u00e9galement d\u00e9clar\u00e9 qu’elle avait identifi\u00e9 les clients concern\u00e9s et qu’elle les contactait directement, soulignant que “le service Okta est pleinement op\u00e9rationnel et qu’il n’y a aucune action corrective que nos clients doivent prendre”.<\/p>\n “Dans le cas de la compromission d’Okta, il ne suffirait pas de simplement changer le mot de passe d’un utilisateur”, a d\u00e9clar\u00e9 la soci\u00e9t\u00e9 d’infrastructure Web Cloudflare. mentionn\u00e9<\/a> dans une analyse post mortem de l’incident. “L’attaquant aurait \u00e9galement besoin de changer le jeton mat\u00e9riel (FIDO) configur\u00e9 pour le m\u00eame utilisateur. En cons\u00e9quence, il serait facile de rep\u00e9rer les comptes compromis en fonction des cl\u00e9s mat\u00e9rielles associ\u00e9es.”<\/p>\n Cela dit, le fait qu’Okta n’a pas divulgu\u00e9 publiquement la violation pendant deux mois est particuli\u00e8rement pr\u00e9occupant, ce qui a incit\u00e9 le groupe de cybercriminels \u00e0 demander “Pourquoi attendre si longtemps?” dans sa contre-d\u00e9claration.<\/p>\n LAPSUS$ a \u00e9galement affirm\u00e9 dans sa r\u00e9futation qu’Okta stockait les cl\u00e9s Amazon Web Services (AWS) dans Slack et que les ing\u00e9nieurs de support semblaient avoir un “acc\u00e8s excessif” \u00e0 la plate-forme de communication. “L’impact potentiel sur les clients d’Okta n’est PAS limit\u00e9, je suis presque certain que la r\u00e9initialisation des mots de passe et de l’authentification MFA entra\u00eenerait une compromission compl\u00e8te des syst\u00e8mes de nombreux clients”, a expliqu\u00e9 le gang.<\/p>\n Microsoft expose les tactiques de LAPSUS$ LAPSUS$, qui est apparu pour la premi\u00e8re fois en juillet 2021, a connu une vague de piratage ces derniers mois, ciblant une multitude d’entreprises au cours de la p\u00e9riode interm\u00e9diaire, notamment Impresa, le minist\u00e8re br\u00e9silien de la Sant\u00e9, Claro, Embratel, NVIDIA, Samsung, Mercado Libre, Vodafone , et plus r\u00e9cemment Ubisoft.<\/p>\n Le modus operandi du groupe \u00e0 motivation financi\u00e8re a \u00e9t\u00e9 relativement simple\u00a0: s’introduire dans le r\u00e9seau d’une cible, voler des donn\u00e9es sensibles et faire chanter l’entreprise victime pour qu’elle paie en publiant des extraits des donn\u00e9es vol\u00e9es sur sa cha\u00eene Telegram.<\/p>\n Microsoft a d\u00e9crit LAPSUS$ comme un groupe suivant un “mod\u00e8le pur d’extorsion et de destruction sans d\u00e9ploiement de charges utiles de ransomware” et qui “ne semble pas couvrir ses traces”.<\/p>\n D’autres tactiques adopt\u00e9es par l’\u00e9quipage comprennent des syst\u00e8mes d’ing\u00e9nierie sociale bas\u00e9s sur le t\u00e9l\u00e9phone tels que l’\u00e9change de cartes SIM pour faciliter la prise de contr\u00f4le de compte, l’acc\u00e8s aux comptes de messagerie personnels des employ\u00e9s des organisations cibles, la corruption d’employ\u00e9s, de fournisseurs ou de partenaires commerciaux d’entreprises pour l’acc\u00e8s et l’intrusion dans le appels continus en r\u00e9ponse \u00e0 la crise de leurs cibles pour lancer des demandes d’extorsion.<\/p>\n LAPSUS$ a \u00e9galement \u00e9t\u00e9 observ\u00e9 en train de d\u00e9ployer le Voleur RedLine<\/a> qui est disponible \u00e0 la vente sur des forums clandestins pour obtenir des mots de passe et des jetons de session, en plus d’acheter des informations d’identification et des jetons d’acc\u00e8s sur les march\u00e9s du dark web, ainsi que de rechercher des r\u00e9f\u00e9rentiels de codes publics pour les informations d’identification expos\u00e9es, afin de prendre pied.<\/p>\n![\"Sauvegardes](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/02\/1645701000_960_Dridex-Malware-Deploiement-Entropy-Ransomware-sur-des-ordinateurs-pirates.png\")
<\/a><\/div>\n\n
\n<\/h2>\n![\"\"](\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/03\/1648007865_663_Microsoft-et-Okta-confirment-la-violation-par-LAPSUS-Extortion-Group.jpg\")
<\/div>\n