Fotografía de archivo de una nota de rescate con letras recortadas de periódicos y revistas.

Un participante relativamente nuevo en la escena del ransomware ha hecho dos afirmaciones sorprendentes en los últimos días, publicando imágenes que parecen mostrar datos patentados que el grupo supuestamente obtuvo de Microsoft y Okta, un proveedor de inicio de sesión único con 15,000 clientes, había robado.

El grupo Lapsus$, que apareció por primera vez hace tres meses, dijo el lunes por la noche en su canal de Telegram que tenía acceso privilegiado a algunos de los datos de propiedad de Okta. El reclamo, si es cierto, podría ser serio dado que Okta permite a los empleados iniciar sesión en varios de los servicios de su empleador con una sola cuenta.

Obtener el estado de «superusuario»

«ANTES DE QUE LA GENTE EMPIECE A PREGUNTAR: NO ACCEDEMOS/ROBAMOS NINGUNA BASE DE DATOS DE OKTA», se lee en la publicación de Telegram. «Nuestro enfoque era SOLO para los clientes de Okta».

Cofundador y director ejecutivo de Okta, Todd McKinnon llamado en Twitter que los datos parecen estar vinculados a un hackeo que tuvo lugar hace dos meses. Él explicó:

A fines de enero de 2022, Okta descubrió un intento de comprometer la cuenta de un técnico de servicio al cliente externo que trabajaba para uno de nuestros subprocesadores. El asunto ha sido investigado y contenido por el subprocesador. Creemos que las capturas de pantalla compartidas en línea están relacionadas con este evento de enero. Según nuestra investigación hasta la fecha, no hay evidencia de actividad maliciosa en curso más allá de la observada en enero.

En una publicación posterior, el director de seguridad de Okta, David Bradbury, dijo que no se había violado el servicio de su empresa. El compromiso de enero mencionado en el tuit de McKinnon no tuvo éxito. Sin embargo, Okta contrató a una firma forense para investigar y recientemente recibió sus hallazgos.

«El informe destacó que hubo una ventana de cinco días entre el 16 y el 21 de enero de 2022 en la que un atacante tuvo acceso a la computadora portátil de un representante de soporte», se lee en la publicación de Okta. «Esto coincide con las capturas de pantalla que conocimos ayer».

La publicación continuó:

El impacto potencial en los clientes de Okta se limita al acceso del ingeniero de soporte. Estos técnicos no pueden crear ni eliminar usuarios ni descargar bases de datos de clientes. Los ingenieros de soporte tienen acceso a datos limitados, como tickets de Jira y listas de usuarios, que se muestran en las capturas de pantalla. Los ingenieros de soporte también pueden facilitar el restablecimiento de contraseñas y factores MFA para los usuarios, pero no pueden obtener estas contraseñas.

Continuamos activamente nuestra investigación, incluida la identificación y el contacto con los clientes que pueden verse afectados. No hay impacto en los clientes de Auth0 ni en los clientes de HIPAA y FedRAMP.

Lapsus$ respondió rápidamente a la publicación de Okta, llamando a las afirmaciones «mentiras».

«TODAVÍA no estoy seguro de cómo es [an] la publicación dice: «¿Iniciar sesión en el portal de superusuario con la capacidad de restablecer la contraseña y MFA para ~95% de los clientes no tiene éxito?», dice la publicación.

La refutación agregó: «El impacto potencial en los clientes de Okta NO está limitado, estoy bastante seguro de que los restablecimientos de contraseña y MFA resultarían en un compromiso total de muchos sistemas de clientes».

La publicación del lunes por la noche de Lapsus$ estuvo acompañada de ocho capturas de pantalla. Uno parecía mostrar que alguien había iniciado sesión en un tablero de «superusuario» perteneciente a Cloudflare, una red de entrega de contenido que utiliza los servicios de Okta. Otra imagen mostraba lo que parecía ser un cambio de contraseña para un empleado de Cloudflare.

Fundador y CEO de Cloudflare, Matthew Prince contestadas Unas horas más tarde, es posible que Okta se haya visto comprometida, pero en cualquier caso, “Okta es solo un proveedor de identidad. Afortunadamente, tenemos varias capas de seguridad más allá de Okta y nunca lo consideraríamos una opción independiente”.

en uno tuit separadoPrince dijo que Cloudflare está restableciendo las credenciales de Okta para los empleados que cambiaron sus contraseñas en los últimos cuatro meses. «No hemos confirmado ningún compromiso», agregó. “Okta es un avión de seguridad. Como pueden tener algún problema, estamos evaluando alternativas para ese nivel”.

Desde entonces, Cloudflare ha publicado este informe de su investigación sobre la infracción.

Otras imágenes en la publicación de Lapsus$ muestran a alguien conectado a lo que parece ser un sistema interno de Okta, una lista de los canales Slack de Okta y algunas de las aplicaciones disponibles para los empleados de Okta.

Los servicios de Okta están aprobados para su uso por el gobierno de EE. UU. bajo un programa llamado FedRAMP, que certifica que los servicios basados ​​en la nube cumplen con los requisitos mínimos de seguridad.

“Para un servicio que impulsa los sistemas de autenticación de muchas de las corporaciones más grandes (y ha sido aprobado por FEDRAMP), creo que estas medidas de seguridad son bastante deficientes”, escribieron los pandilleros en la publicación de Telegram del lunes.

microsoft

Durante el fin de semana, el mismo canal de Telegram publicó imágenes para respaldar una afirmación de Lapsus$ de que violó los sistemas de Microsoft. La publicación de Telegram se eliminó más tarde, pero no frente al investigador de seguridad Dominic Alvieri. documentado el hack en Twitter.

El lunes, un día después de que el grupo publicara y luego eliminara las imágenes, Lapsus$ publicó un enlace de BitTorrent a un archivo que supuestamente contenía un código fuente propietario para Bing, Bing Maps y Cortana, todos los cuales son servicios propiedad de Microsoft. Bleeping Computer, citando a investigadores de seguridad, informó que el contenido de la descarga era de 37 GB y parecía ser un código fuente genuino de Microsoft.

Microsoft simplemente dijo el martes: «Somos conscientes de las acusaciones y las estamos investigando».

Lapsus$ es un actor de amenazas que parece estar operando desde América del Sur o posiblemente Portugal, dijeron investigadores de la firma de seguridad Check Point. A diferencia de la mayoría de los grupos de ransomware, la empresa dice que Lapsus$ no cifra los datos de sus víctimas. En cambio, amenaza con divulgar los datos públicamente a menos que la víctima pague un rescate considerable. El grupo, que surgió por primera vez en diciembre, afirma haber pirateado con éxito a Nvidia, Samsung, Ubisoft y otros.

«Los detalles de cómo el grupo logró incumplir estos objetivos nunca se han explicado completamente», escribieron los investigadores de Check Point en una publicación el martes por la mañana. «Si es cierto, la ruptura en Okta podría explicar cómo Lapsus$ pudo lograr su reciente racha exitosa».



DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí

1 + 3 =