Microsoft confirma hackeo

Después de que el grupo de piratas informáticos Lapsus$ publicara los códigos fuente  de Bing, Cortana y otros productos de Microsoft, la empresa confirmó que los piratas informáticos vulneraron la cuenta de un empleado, lo que les otorgó acceso limitado a los repositorios de origen.

Les recuerdo que la «fuga» de datos ocurrió ayer, cuando Lapsus$ distribuyó vía torrent un archivo 7zip de 9 GB que contenía el código fuente de más de 250 proyectos de la empresa. Lapsus$ declaró que el archivo contiene un 90 % del código fuente de Bing y aproximadamente un 45 % del código de Bing Maps y Cortana, mientras que Bleeping Computer escribió que el archivo sin comprimir contiene aproximadamente 37 GB de código fuente.

Ahora los representantes de Microsoft, que rastrea Lapsus$ bajo el identificador DEV-0537, han confirmado el compromiso .

“Durante esta actividad, los códigos fuente o los datos de los clientes no se vieron afectados. Nuestra investigación reveló que una cuenta estaba comprometida y esto ayudó a [los piratas informáticos] a obtener acceso limitado. Nuestros equipos de respuesta se dispusieron rápidamente a solucionar el problema de la cuenta pirateada y evitar que los atacantes tomaran más medidas.

Microsoft no considera que el secreto del código sea una medida de seguridad, lo que significa que ver el código fuente no aumenta el riesgo.

Nuestro equipo ya estaba investigando el compromiso de una cuenta cuando los atacantes informaron públicamente de su intrusión. Este anuncio público aceleró nuestras acciones, permitiendo que nuestros especialistas intervinieran e interrumpieran las acciones de los piratas informáticos en medio de la operación”, dice Microsoft.

Herramientas y tácticas de Laspsus$

Aunque Microsoft no reveló exactamente cómo se comprometió la cuenta del empleado, en el blog de la empresa apareció una descripción general de las tácticas y los métodos utilizados por Lapsus$ durante los ataques. Según los analistas, los piratas informáticos se centran principalmente en obtener credenciales comprometidas para el acceso inicial a las redes corporativas. Obtienen inicios de sesión y contraseñas utilizando los siguientes métodos:

• despliegue de malware Redline que roba credenciales y tokens de sesión;
• comprar credenciales y tokens en foros clandestinos;
• Sobornos a empleados de organizaciones objetivo (así como a sus proveedores y socios comerciales) para acceder a credenciales y autenticación de múltiples factores;
• buscando credenciales en repositorios públicos.

Permítanme recordarles que el ladrón de Redline ha sido popular durante mucho tiempo entre los piratas informáticos y se considera el principal proveedor de credenciales para varios grandes mercados clandestinos en la web oscura. Por lo general, se propaga a través de correos electrónicos de phishing, ataques de pozos de agua, sitios warez y videos de YouTube.

Después de que Laspsus$ obtiene acceso a las credenciales comprometidas, los piratas informáticos lo utilizan para iniciar sesión en dispositivos públicos y sistemas de la empresa, incluidas las VPN, la infraestructura de escritorio virtual o los servicios de administración de identidad. Microsoft cree que la agrupación está utilizando ataques de repetición de sesión contra cuentas que usan autenticación multifactor o activando constantemente notificaciones MFA hasta que el usuario se cansa de ellas y permite el inicio de sesión.

Después de obtener acceso a la red, los atacantes usan AD Explorer para encontrar cuentas con mayores privilegios y luego atacan plataformas de desarrollo y colaboración como SharePoint, Confluence, JIRA, Slack y Microsoft Teams, y también roban credenciales. Estos inicios de sesión y contraseñas finalmente se usan para obtener acceso a los repositorios de GitLab, GitHub y Azure DevOps (lo que sucedió durante el ataque a Microsoft).

Después de eso, los atacantes recopilarán información valiosa y la robarán a través de NordVPN (para ocultar su ubicación), al tiempo que realizan ataques destructivos en la infraestructura de la víctima e inician procedimientos de respuesta a incidentes.

«También se sabe que DEV-0537 explota vulnerabilidades en Confluence, JIRA y GitLab para escalar privilegios», dice Microsoft. «El grupo comprometió los servidores que ejecutan estas aplicaciones para obtener credenciales de cuenta privilegiadas y ejecutarlas en el contexto de la cuenta especificada, robando datos».