Okta agora diz: Lapsus$ pode de fato ter acessado informações do cliente

Uma postagem atualizada detalhando a resposta da Okta às alegações de uma intrusão no serviço mostra o diretor de segurança David Bradbury revelando que “uma pequena porcentagem de clientes – aproximadamente 2,5% – foi potencialmente impactada e cujos dados podem ter sido visualizados ou acionados”.

Bradbury não descreveu os dados que podem ter sido visualizados, mas como o serviço principal da Okta é um single sign-on para milhares de serviços em nuvem, a possibilidade de que as credenciais dos clientes tenham vazado para partes desconhecidas não pode ser descartada.

Okta afirma ter mais de 15.000 clientes, portanto, se 2,5% foram comprometidos, podem ser 375 organizações que agora precisam determinar se todos os logons em suas nuvens preferidas – e as ações realizadas por usuários autenticados – eram legítimos e/ou inócuos. Essas investigações precisam considerar sessões desde 16 de janeiro – a data que a Okta mencionou em declarações anteriores como o dia em que os invasores comprometeram um único laptop usado por um engenheiro de suporte que trabalha para um dos fornecedores da Okta.

Um único laptop e 375 clientes não são números enormes, mas os clientes da Okta, como Amazon.com, Apple, Microsoft, NTT e McKesson, empregam dezenas ou até centenas de milhares de pessoas. Esses 375 clientes comprometidos podem se traduzir em muitos, muitos outros compromissos individuais.

A Microsoft, felizmente, revelou que, embora o Lapsus$ tenha realmente conseguido ver parte de seu código-fonte – como a gangue afirmou no início desta semana – apenas uma conta da Microsoft foi comprometida e essa oferecia “acesso limitado” ao código-fonte.

O post da gigante do software em que essa admissão foi feita também oferecia uma descrição detalhada de como a Lapsus$ lida com seus negócios desagradáveis.

A Microsoft prefere se referir à gangue como “DEV-0537” e a classifica como “um ator cibercriminoso motivado por roubo e destruição”.

Na estimativa da Microsoft, a gangue usa “engenharia social baseada em telefone: troca de SIM para facilitar o controle de contas, acessar contas de e-mail pessoais de funcionários em organizações-alvo, funcionários pagantes, fornecedores ou parceiros de negócios de organizações-alvo para acesso a credenciais e autenticação multifator (MFA) aprovação e intromissão nas chamadas de comunicação de crise em andamento de seus alvos.” A Lapsus$ também faz propaganda para funcionários e oferece pagamento a insiders que vazam credenciais ou facilitam ataques.

A gangue tem como alvo a infraestrutura de desktop virtual e nomeou a Citrix como um fornecedor cujos produtos ela gosta de segmentar. O próprio Azure Active Directory da Microsoft também está na lista de sucessos do Lapsus$ – junto com o Okta.

A gangue faz sua pesquisa e obtém o que a Microsoft descreveu como “conhecimento íntimo sobre usuários finais, estruturas de equipe, help desks, fluxos de trabalho de resposta a crises e relacionamentos da cadeia de suprimentos” antes de atacar.

Depois que as invasões começam, as vítimas podem enfrentar uma enxurrada de solicitações de autenticação multifator (MFA) ou chamadas para o suporte técnico da organização para redefinir as credenciais de um alvo. Se for bem-sucedido, a gangue implanta vários pacotes de malware – alguns instalados em novas VMs criadas nas nuvens preferidas das vítimas. Outra tática faz com que Lapsus$ crie um novo superadministrador nas contas de nuvem das vítimas, congelando usuários legítimos.

Como o Lapsus$ monitora as comunicações internas das vítimas, a Microsoft recomenda o desenvolvimento de um plano de comunicação fora de banda para os respondentes de incidentes “que pode ser usado por vários dias enquanto ocorre uma investigação”. O colosso do software sugere que seja mantido em algum lugar que o Lapsus$ não possa acessar – presumivelmente em sistemas com gap de ar ou em uma gaveta inferior. ®

Fonte: https://www.theregister.com/