Microsoft está rastreando al grupo de extorsión Lapsus$ como 'DEV-0537', el cual se enfoca principalmente en obtener credenciales comprometidas para el acceso inicial a las redes corporativas.

Los actores detrás de DEV-0537 centraron sus esfuerzos de ingeniería social para recopilar conocimientos sobre las operaciones comerciales de su objetivo. Dicha información incluye conocimiento íntimo sobre los empleados, las estructuras de los equipos, las mesas de ayuda, los flujos de trabajo de respuesta a crisis y las relaciones de la cadena de suministro. Ejemplos de estas tácticas de ingeniería social incluyen enviar spam a un usuario objetivo con indicaciones de autenticación multifactor (MFA) y llamar a la mesa de ayuda de la organización para restablecer las credenciales de un objetivo.

Estas credenciales se obtienen utilizando los siguientes métodos:

• Instalación de Redline password stealer para obtener contraseñas y tokens de sesión.
• Compra de credenciales y tokens de sesión en foros clandestinos y criminales
• Pagar a los empleados de las organizaciones específicas (o proveedores/socios comerciales) por el acceso a las credenciales y la aprobación de la autenticación multifactor (MFA).
• Búsqueda en repositorios de códigos públicos para obtener credenciales expuestas

Redline se ha convertido en el malware elegido para robar credenciales y se distribuye comúnmente a través de correos electrónicos de phishing, watering holes, sitios warez y videos de YouTube.

Una vez que Laspsus$ obtiene acceso a las credenciales comprometidas, las utilizan para iniciar sesión en los dispositivos y sistemas públicos de una empresa, incluidas las VPN, la infraestructura de escritorio virtual o los servicios de administración de identidades, como Okta, que violaron en enero.

Microsoft dice que usan ataques de repetición de sesión para cuentas que utilizan MFA, o activan continuamente notificaciones de MFA hasta que el usuario se cansa de ellas y confirma que se le debe permitir iniciar sesión.

En al menos una oportunidad, Lapsus$ realizó un ataque de intercambio de SIM para obtener el control de los números de teléfono y los mensajes de texto del usuario para obtener acceso a los códigos MFA necesarios para iniciar sesión en una cuenta.

Una vez que obtienen acceso a una red, los actores de amenazas usan AD Explorer para encontrar cuentas con privilegios altos y luego apuntan a plataformas de desarrollo y colaboración, como SharePoint, Confluence, JIRA, Slack y Microsoft Teams, donde se roban otras credenciales.

El grupo también usa estas credenciales para obtener acceso a los repositorios de código fuente en GitLab, GitHub y Azure DevOps, como vimos con el ataque a Microsoft.

"También se sabe que DEV-0537 explota vulnerabilidades en Confluence, JIRA y GitLab para escalar privilegios", explica Microsoft en su informe.

Protección contra Lapsus$

Microsoft recomienda que las entidades corporativas realicen los siguientes pasos para protegerse contra actores de amenazas como Lapsus$:

• Fortalecer la implementación de MFA
• Requerir puntos finales saludables y confiables
• Aprovechar las opciones de autenticación modernas para las VPN
• Fortalecer y supervisar la postura de seguridad en la nube
• Mejorar el conocimiento de los ataques de ingeniería social
• Establecer procesos de seguridad operativa en respuesta a las intrusiones DEV-0537

Lapsus$ ha realizado recientemente numerosos ataques contra la empresa, incluidos NVIDIA, Samsung, Vodafone, Ubisoft, Mercado Libre, y ahora Microsoft.

Por lo tanto, se recomienda encarecidamente que los administradores de seguridad y de red se familiaricen con las tácticas utilizadas por este grupo al leer el informe de Microsoft.

Fuente: BC | Microsoft