Microsoft confirma que foi hackeada pelo grupo de extorsão Lapsus$

A Microsoft confirmou que um de seus funcionários foi comprometido pelo grupo de hackers Lapsus$, permitindo que os criminosos acessem e roubem partes de seu código-fonte.

Ontem à noite, a gangue Lapsus$ liberou 37 GB de código-fonte roubados do servidor Azure DevOps da Microsoft. O código-fonte é para vários projetos internos da Microsoft, inclusive para Bing, Cortana e Bing Maps.

Projetos de código-fonte vazados
Projetos de código-fonte vazados

Em uma nova postagem no blog publicada hoje à noite, a Microsoft confirmou que uma das contas de um de seus funcionários foi comprometida pelo Lapsus$, fornecendo acesso limitado aos repositórios de código-fonte.

“Nenhum código de cliente ou dados foram envolvidos nas atividades observadas. Nossa investigação descobriu que uma única conta foi comprometida, concedendo acesso limitado. Nossas equipes de resposta à segurança cibernética rapidamente se envolveram para remediar a conta comprometida e evitar mais atividades”, explicou a Microsoft em um comunicado. sobre os agentes de ameaças Lapsus$.

“A Microsoft não confia no sigilo do código como medida de segurança e a visualização do código-fonte não aumenta o risco. As táticas DEV-0537 usadas nesta invasão refletem as táticas e técnicas discutidas neste blog.”

“Nossa equipe já estava investigando a conta comprometida com base na inteligência de ameaças quando o agente divulgou publicamente sua invasão. Essa divulgação pública aumentou nossa ação, permitindo que nossa equipe interviesse e interrompesse o agente no meio da operação, limitando o impacto mais amplo”.

Embora a Microsoft não tenha compartilhado como a conta foi comprometida, eles forneceram uma visão geral das táticas, técnicas e procedimentos (TTPs) da gangue Lapsus observados em vários ataques.

Foco em credenciais comprometidas

A Microsoft está rastreando o grupo de extorsão de dados Lapsus$ como ‘DEV-0537’ e diz que eles se concentram principalmente na obtenção de credenciais comprometidas para acesso inicial a redes corporativas.

Essas credenciais são obtidas usando os seguintes métodos:

  • Implantando o ladrão de senhas Redline malicioso para obter senhas e tokens de sessão
  • Comprando credenciais e tokens de sessão em fóruns clandestinos criminais
  • Pagar funcionários em organizações direcionadas (ou fornecedores/parceiros de negócios) para acesso a credenciais e aprovação de autenticação multifator (MFA)
  • Pesquisando repositórios de código público para credenciais expostas

O ladrão de senhas Redline tornou-se o malware preferido  para roubar credenciais e é comumente distribuído por e-mails de phishing, watering holes, sites warez e vídeos do YouTube.

Depois que o Laspsus$ obtém acesso às credenciais comprometidas, ele o usa para fazer login nos dispositivos e sistemas voltados para o público de uma empresa, incluindo VPNs, infraestrutura de desktop virtual ou serviços de gerenciamento de identidade, como Okta, que  eles violaram em janeiro.

A Microsoft diz que usa ataques de repetição de sessão para contas que utilizam MFA ou aciona continuamente notificações de MFA até que o usuário se canse delas e confirme que o usuário deve ter permissão para fazer login.

A Microsoft diz que em pelo menos um ataque, o Lapsus$ executou um ataque de troca de SIM para obter o controle dos números de telefone e textos SMS do usuário para obter acesso aos códigos MFA necessários para fazer login em uma conta.

Depois de obter acesso a uma rede, os agentes de ameaças usam o  AD Explorer  para encontrar contas com privilégios mais altos e direcionar plataformas de desenvolvimento e colaboração, como SharePoint, Confluence, JIRA, Slack e Microsoft Teams, onde outras credenciais são roubadas. 

O grupo de hackers também usa essas credenciais para obter acesso a repositórios de código-fonte no GitLab, GitHub e Azure DevOps, como vimos no ataque à Microsoft.

“O DEV-0537 também é conhecido por explorar vulnerabilidades no Confluence, JIRA e GitLab para escalonamento de privilégios”, explica a Microsoft em seu relatório.

“O grupo comprometeu os servidores que executam esses aplicativos para obter as credenciais de uma conta privilegiada ou executar no contexto dessa conta e despejar as credenciais de lá”.

Os agentes de ameaças coletam dados valiosos e os exfiltram pelas conexões NordVPN para ocultar suas localizações enquanto realizam ataques destrutivos na infraestrutura das vítimas para acionar procedimentos de resposta a incidentes. 

Os agentes de ameaças monitoram esses procedimentos por meio dos canais Slack ou Microsoft Teams da vítima.

Proteção contra Lapsus$

A Microsoft recomenda que as entidades corporativas executem as seguintes etapas para se proteger contra agentes de ameaças como Lapsus$:

  • Reforçar a implementação de MFA
  • Exigir endpoints saudáveis ​​e confiáveis
  • Aproveite as opções modernas de autenticação para VPNs
  • Fortaleça e monitore sua postura de segurança na nuvem
  • Melhorar a conscientização sobre ataques de engenharia social
  • Estabelecer processos de segurança operacional em resposta a intrusões DEV-0537

A Lapsus$ realizou recentemente vários ataques contra a empresa, incluindo aqueles contra  NVIDIA,  Samsung,  Vodafone,  Ubisoft,  Mercado Livre e agora Microsoft.

Portanto, é altamente recomendável que os administradores de segurança e rede se familiarizem com as táticas usadas por esse grupo lendo o relatório da Microsoft.