O caos (e o custo) provado pelos hackers da Lapsus$. Segundo especialistas o grupo é supostamente liderada por um adolescente britânico.
Especialistas em segurança dizem que a onda de hackers de “extorsão e destruição” do grupo Lapsus$ é obra de uma gangue amadora supostamente liderada por um adolescente britânico. O que isso diz sobre o estado da segurança cibernética?
O momento para os ataques Lapsus$ não poderia ser pior.
À medida que os defensores de redes corporativas absorviam avisos sobre guerra cibernética e confirmavam relatos de ataques de limpeza e ransomware em estados-nações, a gangue de hackers Lapsus$ invadiu a opinião pública com provocações e evidências de hacks de roubo de dados contra marcas proeminentes NVIDIA , Samsung e Ubisoft .
Mais tarde, a Microsoft e a Okta seriam arrastadas para o grupo de vítimas, com Redmond documentando publicamente “uma campanha de extorsão e engenharia social em larga escala” e a Okta estragando suas comunicações com os clientes sobre a extensão de sua violação.
O caos – e as controvérsias em andamento – causados pelo Lapsus$ (a Microsoft os chama de DEV-0537 ) é a confirmação de que as superfícies de ataque e as dependências de fornecedores terceirizados expõem as superfícies de ataque que são quase impossíveis de defender. Pior ainda, confirma que mesmo as organizações com mais recursos e os melhores talentos de segurança podem ser vítimas de invasores qualificados e motivados.
A postagem no blog da Microsoft sobre Lapsus$ conta a história do um grupo organizado de maneira vaga, deixando um rastro de destruição após ataques de hackers bem-sucedidos contra várias organizações ao redor do mundo.
“[O grupo é] conhecido por usar um modelo puro de extorsão e destruição sem implantar cargas úteis de ransomware”, alertou a Microsoft em uma nota reconhecendo que seus próprios sistemas foram comprometidos nas invasões de alto perfil.
“Esta semana, o ator fez alegações públicas de que havia obtido acesso à Microsoft e exfiltrado partes do código-fonte. Nenhum código ou dado de cliente foi envolvido nas atividades observadas. Nossa investigação descobriu que uma única conta foi comprometida, concedendo acesso limitado. Nossa equipe já estava investigando a conta comprometida com base na inteligência de ameaças quando o ator divulgou publicamente sua invasão. Essa divulgação pública escalou nossa ação, permitindo que nossa equipe interviesse e interrompesse o ator no meio da operação, limitando o impacto mais amplo. ” disse a Microsoft.
A Microsoft alertou que o grupo expandiu sua lista de alvos para organizações em todo o mundo, incluindo entidades nos setores de governo, tecnologia, telecomunicações, mídia, varejo e saúde e estava usando táticas descaradas para espionar os socorristas durante incidentes ao vivo.
“O DEV-0537 também é conhecido por assumir contas de usuários individuais em exchanges de criptomoedas para drenar as posses de criptomoedas”, disse a Microsoft, descrevendo táticas que incluem engenharia social baseada em telefone, troca de SIM, hackear contas pessoais de funcionários e até mesmo pagar insiders pelo acesso à uma rede corporativa.
“DEV-0537 não parece cobrir seus rastros. Eles chegam ao ponto de anunciar seus ataques nas mídias sociais ou anunciar sua intenção de comprar credenciais de funcionários de organizações-alvo”, observou Redmond.
Para a Okta, uma empresa de capital aberto com um valor de mercado de US$ 23 bilhões, a publicação de capturas de tela e provocações de Lapsus$ levou a um desastre de relações públicas que incluiu várias tentativas de descrever com precisão o raio da explosão e críticas amargas de líderes proeminentes de segurança cibernética.
Após várias declarações enigmáticas que pareciam minimizar a gravidade do comprometimento, a Okta acabou confirmando que 366 de seus clientes (aproximadamente 2,5%) “podem ter sido potencialmente impactados e cujos dados podem ter sido visualizados ou acionados”.
O chefe de segurança da empresa, David Bradbury, publicou uma linha do tempo que confirmou que Okta ficou sabendo do incidente em meados de janeiro, mas não comunicou nada publicamente até que a Lapsus$ divulgou as capturas de tela três meses depois.
A Okta, uma empresa que fornece tecnologia de gerenciamento de identidade e acesso para aproximadamente 15.000, havia afirmado anteriormente que um invasor tinha acesso limitado a um laptop durante uma janela de cinco dias e que os clientes não foram afetados, mas a confusão e a falta de transparência não bem aceita pelos clientes.
Amit Yoran, presidente e CEO da Tenable, não mediu palavras. “Dois meses é muito tempo. Esse comprometimento deveria ter sido divulgado quando Okta o detectou em janeiro ou após uma análise forense competente e oportuna”, disse Yoran em uma carta aberta a Okta publicada no LinkedIn.
“Nenhum indicador de comprometimento foi publicado, nenhuma prática recomendada e nenhuma orientação foi divulgada sobre como mitigar qualquer aumento potencial de risco. Como cliente, tudo o que podemos dizer é que a Okta não entrou em contato conosco. E, até onde sabemos, não somos afetados pela violação. Com muita cautela, estamos tomando o que acreditamos ser ações lógicas para minimizar a exposição”, declarou Yoran.
Vários CISOs consultados pela SecurityWeek confirmaram que os incidentes Lapsus$ adicionaram “custo significativo” até mesmo aos programas de segurança mais maduros.
“Toda vez que há uma captura de tela do Twitter, temos que iniciar um processo de resposta a incidentes para ver se estamos envolvidos nela. Obviamente, quando o nome de Okta é mencionado, seus ouvidos se animam”, disse um proeminente líder de segurança de uma empresa de serviços financeiros com sede em Dallas, Texas.
“Está tudo interligado. Se a Microsoft estiver comprometida, temos que lutar. Se Okta estiver comprometido, temos que lutar”, acrescentou com naturalidade.
“Você está assumindo o pior cenário e procurando determinar e limitar o raio da explosão. Nós realmente confiamos que os fornecedores sejam transparentes e honestos. Se não posso depender de você para ser transparente e pontual, provavelmente procurarei alternativas.”
Os hacks do Lapsus$ também ressaltam o ponto fraco do compartilhamento de dados e do acesso a dados entre fornecedores e provedores terceirizados e a maneira como várias técnicas de hackers podem ser combinadas para causar danos graves.
“Lembre-se de que não há dias zero extravagantes envolvidos. Eles [Lapsus$] estão mostrando que você não precisa usar zero-days ou exploits inteligentes. Eles estão explorando um sistema inteiro onde os dados estão fluindo em todos os lugares e nós realmente não temos os controles para gerenciá-los.”
A Microsoft recomenda que as organizações adotem manuais de gerenciamento de riscos internos para mitigar os danos da engenharia social e táticas centradas na identidade usadas pela gangue Lapsus$.
Isso inclui o uso obrigatório da tecnologia MFA (autenticação multifator) para todos os usuários de todos os locais, incluindo até mesmo ambientes confiáveis perceptivos. O lançamento do MFA também deve incluir toda a infraestrutura de interface, mesmo aquelas provenientes de locais locais.
Redmond também está pedindo às empresas que usem opções modernas de autenticação (OAuth ou SAML conectado ao Azure AD) para habilitar a detecção de entrada baseada em risco e fortalecer e monitorar as implantações de segurança na nuvem em busca de sinais de atividade maliciosa.
Fonte: SecurirtyWeek