Microsoft e il fornitore di servizi di autenticazione Okta confermano una violazione denunciata dalla banda di hacker LAPSUS.
Il gruppo criminale informatico ha pubblicato screenshot e codice sorgente di quelli che ha affermato essere i progetti e i sistemi interni delle aziende sul suo canale Telegram.
Lapsus$, i software colpiti
L’archivio da 37 GB trapelato mostra che il gruppo potrebbe aver avuto accesso ai repository relativi a Bing, Bing Maps e Cortana di Microsoft, con le immagini che evidenziano la suite Atlassian di Okta e i canali Slack interni.
“Per un servizio che alimenta i sistemi di autenticazione a molte delle più grandi società, queste misure di sicurezza sono piuttosto scarse“, ha scritto il cartello di hacking su Telegram.
Inoltre, il gruppo ha affermato di aver violato LG Electronics (LGE) per la “seconda volta” in un anno.
Bill Demirkapi, un ricercatore di sicurezza indipendente, ha osservato che “Sembra che LAPSUS$ abbia avuto accesso al tenant di Cloudflare con la possibilità di reimpostare le password dei dipendenti“, aggiungendo che la società “non ha riconosciuto pubblicamente alcuna violazione per almeno due mesi“.
LAPSUS$ da allora ha chiarito che non ha violato i database di Okta e che “il nostro focus era SOLO sui clienti Okta“. Ciò potrebbe comportare serie implicazioni per altre agenzie governative americane e aziende che si affidano a Okta per autenticare l’accesso degli utenti ai sistemi interni.
Le dichiarazioni di Okta
“Alla fine di gennaio 2022, Okta ha rilevato un tentativo di compromettere l’account di un tecnico dell’assistenza clienti di terze parti che lavorava per uno dei nostri subprocessori. La questione è stata indagata e contenuta“, ha affermato in un tweet il CEO di Okta Todd McKinnon.
“Riteniamo che gli screenshot condivisi online siano collegati a questo evento di gennaio. Sulla base della nostra indagine fino ad oggi, non ci sono prove di attività dannose in corso oltre all’attività rilevata a gennaio“, ha aggiunto McKinnon.
Cloudflare, in risposta, ha affermato che sta ripristinando le credenziali Okta dei dipendenti che hanno cambiato le password negli ultimi quattro mesi, per eccesso di cautela.
Hacker che non criptano i dati, li rubano
A differenza dei tradizionali gruppi di ransomware che seguono il playbook della doppia estorsione di rubare dati a una vittima e quindi crittografare tali informazioni in cambio di un pagamento, il nuovo arrivato nel panorama delle minacce si concentra maggiormente sul furto di dati e sul loro utilizzo per ricattare gli obiettivi.
Nei mesi trascorsi da quando è diventata attiva alla fine di dicembre 2021, la banda della criminalità informatica ha accumulato una lunga lista di vittime di alto profilo, tra cui Impresa, NVIDIA, Samsung, Mercado Libre, Vodafone e, più recentemente, Ubisoft.
“Qualsiasi attacco riuscito contro un fornitore di servizi o uno sviluppatore di software può avere un ulteriore impatto oltre la portata dell’attacco iniziale“, ha affermato in una nota Mike DeNapoli, Lead Security Architect di Cymulate. “Gli utenti dei servizi e delle piattaforme devono essere avvisati del fatto che ci sono possibili attacchi alla catena di approvvigionamento da cui sarà necessario difendersi“.
Ti è piaciuto questo articolo? Contattaci per una consulenza di sicurezza informatica: