Esta semana comenzaba con las habladurías de una serie de cuentas DevOps de Microsoft que se habían visto comprometidas. Más adelante, el grupo de hackers Lapsus$ asumió la responsabilidad de este ataque. Llegando incluso a publicar una captura de pantalla en Telegram para respaldar su afirmación y afirmar que efectivamente eran ellos los que estaban detrás del golpe.
Los mismos hackers están detrás de los ataques de Ubisoft y Samsung. Hace un par de días, los hackers filtraron un torrent que contenía el código fuente de más de 250 proyectos, que decían ser de Microsoft.
Microsoft habla sobre Lapsus$ y la información sustraída
Ahora Microsoft, a través de una publicación en su blog, ha abordado el tema y ha confirmado que el grupo de hackers conocido como DEV-0537 fue capaz de comprometer sus sistemas. Sólo una cuenta fue accedida por los hackers, lo que les permitió un acceso limitado. Sin embargo, el ataque fue rápidamente mitigado por el equipo de ciberseguridad para evitar mayores daños.
Microsoft mantiene que los piratas informáticos no accedieron a ningún código o dato de los clientes, según las investigaciones que han llevado a cabo. Los lapsus$ aprovecharon sus habilidades de ingeniería social para obtener la información que necesitaban de las operaciones comerciales a las que habían apuntado. Estas prácticas incluyen el envío de spam a un usuario objetivo con avisos de autenticación multifactor (MFA) e incluso llamar al servicio de asistencia de la organización para restablecer las credenciales del objetivo.
El Centro de Inteligencia de Amenazas de Microsoft (MSTIC) evalúa que el objetivo de DEV-0537 es obtener un acceso elevado a través de credenciales robadas que permitan el robo de datos y ataques destructivos contra una organización objetivo, a menudo con resultado de extorsión. Las tácticas y los objetivos indican que se trata de un actor cibercriminal motivado por el robo y la destrucción.
Un acceso a una única cuenta… que afortunadamente no ha supuesto un gran problema
A través de la investigación, Microsoft señala que el grupo de hackers buscaba inicialmente obtener el control de cuentas personales. Una vez que conseguían el acceso, utilizaban estas cuentas para recopilar toda la información que pudieran, lo que a su vez les permitiría acceder a los sistemas corporativos. Lapsus$ también atrajo a algunos empleados de algunas empresas. Publicando anuncios en los que buscaban reclutar a personas que estuvieran dispuestas a dar estas credenciales y, a cambio, les pagarían.
En base a la información obtenida por los expertos de Microsoft, DEV-0537 tiene una infraestructura dedicada. En ella operan en conocidos proveedores de servidores privados virtuales (VPS) y aprovechan NordVPN para sus puntos de salida. DEV-0537 está al tanto de detecciones como los viajes imposibles y por ello eligió puntos de salida de VPN que eran geográficamente como sus objetivos. DEV-0537 entonces descargó datos sensibles de la organización. Su objetivo era una futura extorsión o liberación pública al sistema unido a la VPN de la organización y/o al sistema unido a Azure AD.
Esto ha servido para que los usuarios estén protegidos de este tipo de ataques. Proporcionando un resumen de prácticas seguras que ayudarán a mejorar su seguridad. Algunas de las prácticas clave incluyen el fortalecimiento de la implementación de MFA, el aprovechamiento de las opciones modernas de autenticación para las VPN, y la mejora de la conciencia de los ataques de ingeniería social, entre otros.
