A Microsoft confirmou que um de seus funcionários teve dados comprometidos pelo grupo de hackers Lapsus$. Segundo a empresa, isso permitiu que os criminosos acessassem e roubassem partes de seu código-fonte. Nesta semana, a gangue Lapsus$ liberou 37 GB de código-fonte roubados do servidor Azure DevOps da Microsoft. O código-fonte é para vários projetos internos da Microsoft, inclusive para Bing, Cortana e Bing Maps. Portanto, a Microsoft confirma que foi hackeada pelo grupo de extorsão Lapsus$.

Tabela de conteúdo

Microsoft confirma que foi hackeada pelo grupo de extorsão Lapsus$Foco em credenciais comprometidas Essas credenciais são obtidas usando os seguintes métodos:Proteção contra Lapsus$

**Projetos de código-fonte vazados** da Microsoft pelo grupo

Microsoft confirma que foi hackeada pelo grupo de extorsão Lapsus$

Em uma nova postagem no blog, a Microsoft confirmou que uma das contas de um de seus funcionários foi comprometida pelo Lapsus$, fornecendo acesso limitado aos repositórios de código-fonte.

Nenhum código de cliente ou dados foram envolvidos nas atividades observadas. Nossa investigação descobriu que uma única conta foi comprometida, concedendo acesso limitado. Nossas equipes de resposta à segurança cibernética rapidamente se envolveram para remediar a conta comprometida e evitar mais atividades, explicou a Microsoft em um comunicado. sobre os agentes de ameaças Lapsus$.
A Microsoft não confia no sigilo do código como medida de segurança e a visualização do código-fonte não aumenta o risco. As táticas DEV-0537 usadas nesta invasão refletem as táticas e técnicas discutidas neste blog.
Nossa equipe já estava investigando a conta comprometida com base na inteligência de ameaças quando o agente divulgou publicamente sua invasão. Essa divulgação pública aumentou nossa ação, permitindo que nossa equipe interviesse e interrompesse o agente no meio da operação, limitando o impacto mais amplo.

Embora a Microsoft não tenha compartilhado como a conta foi comprometida, eles forneceram uma visão geral das táticas, técnicas e procedimentos (TTPs) da gangue Lapsus observados em vários ataques.

Foco em credenciais comprometidas

Segundo a Microsoft, os hackers da Lapsu$ recrutam aliados para o mundo do crime.

A Microsoft está rastreando o grupo de extorsão de dados Lapsus$ como ‘DEV-0537’ e diz que eles se concentram principalmente na obtenção de credenciais comprometidas para acesso a redes corporativas.

Essas credenciais são obtidas usando os seguintes métodos:

Implantando o ladrão de senhas Redline malicioso para obter senhas e tokens de sessão
Comprando credenciais e tokens de sessão em fóruns clandestinos criminais
Pagar funcionários em organizações direcionadas (ou fornecedores/parceiros de negócios) para acesso a credenciais e aprovação de autenticação multifator (MFA)
Pesquisando repositórios de código público para credenciais expostas

O ladrão de senhas Redline tornou- se o malware preferido para roubar credenciais e é comumente distribuído por e-mails de phishing, watering holes, sites warez e vídeos do YouTube.

Depois que o Laspsus$ obtém acesso às credenciais comprometidas, ele o usa para fazer login nos dispositivos e sistemas voltados para o público de uma empresa, incluindo VPNs, infraestrutura de desktop virtual ou serviços de gerenciamento de identidade, como Okta, que eles violaram em janeiro.

A Microsoft diz que usa ataques de repetição de sessão para contas que utilizam MFA ou aciona continuamente notificações de MFA até que o usuário se canse delas e confirme que o usuário deve ter permissão para fazer login.

A Microsoft diz que em pelo menos um ataque, o Lapsus$ executou um ataque de troca de SIM para obter o controle dos números de telefone e textos SMS do usuário para obter acesso aos códigos MFA necessários para fazer login em uma conta.

Depois de obter acesso a uma rede, os agentes de ameaças usam o AD Explorer para encontrar contas com privilégios mais altos e direcionar plataformas de desenvolvimento e colaboração, como SharePoint, Confluence, JIRA, Slack e Microsoft Teams, onde outras credenciais são roubadas.

O grupo de hackers também usa essas credenciais para obter acesso a repositórios de código-fonte no GitLab, GitHub e Azure DevOps, como vimos no ataque à Microsoft.

O DEV-0537 também é conhecido por explorar vulnerabilidades no Confluence, JIRA e GitLab para escalonamento de privilégios, explica a Microsoft em seu relatório.
O grupo comprometeu os servidores que executam esses aplicativos para obter as credenciais de uma conta privilegiada ou executar no contexto dessa conta e despejar as credenciais de lá.

Os agentes de ameaças coletam dados valiosos e os exfiltram pelas conexões NordVPN para ocultar suas localizações enquanto realizam ataques destrutivos na infraestrutura das vítimas para acionar procedimentos de resposta a incidentes.

Os agentes de ameaças monitoram esses procedimentos por meio dos canais Slack ou Microsoft Teams da vítima.

Proteção contra Lapsus$

A Microsoft recomenda que as entidades corporativas executem as seguintes etapas para se proteger contra agentes de ameaças como Lapsus$:

Reforçar a implementação de MFA
Exigir endpoints saudáveis e confiáveis
Aproveite as opções modernas de autenticação para VPNs
Fortaleça e monitore sua postura de segurança na nuvem
Melhorar a conscientização sobre ataques de engenharia social
Estabelecer processos de segurança operacional em resposta a intrusões DEV-0537

A Lapsus$ realizou recentemente vários ataques contra a empresa, incluindo contra NVIDIA, Samsung, Vodafone, Ubisoft, Mercado Livre e agora Microsoft.

Portanto, é altamente recomendável que os administradores de segurança e rede se familiarizem com as táticas usadas por esse grupo lendo o relatório da Microsoft.

Via BleepingComputer