Microsoft limita impacto após descoberta de ciberataque

Companhia se manifestou sobre exposição divulgada no Telegram pelo grupo de cibercrimiosos Lapsus$ e confirmou que uma conta interna foi comprometida. Times de resposta a incidente se envolveram no caso para conter o ataque e detalham o modus operandi da organização de criminosos

Compartilhar:

Após o anúncio de ontem (22) do grupo Lapsus$ no Telegram sobre exposição de supostos arquivos de códigos-fonte de serviços da Microsoft, como Cortana, Bing Mapas e buscador Bing, a gigante de tecnologia fez um extenso post em seu blog explicando o modelo de operação do grupo de cibercriminosos. Durante a apuração da Security Report sobre o caso, a Microsoft foi breve ao dizer que “está ciente do assunto e está investigando.”

 

A Microsoft admitiu que vem estudando o Lapsus$ há algum tempo rastreando o grupo como DEV-0537. De acordo com a companhia, trata-se de uma organização criminosa conhecido por usar um modelo puro de extorsão e destruição sem implantar cargas de ransomware. A companhia ressalta que nenhum código ou dado de cliente foi envolvido nas atividades observadas. A investigação revelou que uma única conta foi comprometida, concedendo acesso limitado. As equipes de resposta à segurança cibernética se envolveram rapidamente para remediar a conta comprometida e evitar mais atividades.

 

“A Microsoft não confia no sigilo do código como medida de segurança e a visualização do código-fonte não aumenta o risco. As táticas DEV-0537 usadas nesta intrusão refletem as táticas e técnicas discutidas neste blog. Nossa equipe já estava investigando a conta comprometida com base na inteligência de ameaças quando o ator divulgou publicamente sua invasão. Essa divulgação pública escalou nossa ação, permitindo que nossa equipe interviesse e interrompesse o ator no meio da operação, limitando o impacto mais amplo”, destaca nota divulgada.

 

A empresa afirmou ainda que está comprometida em fornecer visibilidade das atividades maliciosas observadas e compartilhar insights e conhecimento de táticas de atores que podem ser úteis para outras organizações se protegerem. “Embora nossa investigação sobre os ataques mais recentes ainda esteja em andamento, continuaremos atualizando este blog quando tivermos mais informações para compartilhar”, diz companhia.

 

Segundo a Microsoft, a engenharia social e as táticas centradas na identidade alavancadas pelo Lapsus$ exigem processos de detecção e resposta semelhantes aos programas de risco. Além disso, envolvem prazos curtos de resposta ao incidente. “Ao contrário da maioria dos grupos de atividades que ficam sob o radar, o DEV-0537 não parece cobrir seus rastros. Eles chegam a anunciar seus ataques nas mídias sociais ou anunciar sua intenção de comprar credenciais de funcionários de organizações que estão no alvo. O DEV-0537 também utiliza várias táticas que são usadas com menos frequência por outros agentes de ameaças rastreados pela Microsoft”, explica comunicado.

 

Vale destacar que esse mesmo grupo, recentemente, vazou dados da Nvidia e da Samsung, além de ter atacado o Ministério da Saúde e outros órgãos do governo no final do ano passado. No início do mês, o Mercado Livre também foi afetado.

 

Modus operandi

 

Os atores por trás do DEV-0537 concentraram seus esforços de engenharia social para reunir conhecimento sobre as operações de negócios de seus alvos. Essas informações incluem conhecimento íntimo sobre funcionários, estruturas de equipe, help desks, fluxos de trabalho de resposta a crises e relacionamentos da cadeia de suprimentos. Exemplos dessas táticas de engenharia social incluem enviar spam a um usuário alvo com prompts de autenticação multifator (MFA) e ligar para o suporte técnico da organização para redefinir as credenciais de um alvo.

 

O Microsoft Threat Intelligence Center avalia que o objetivo do DEV-0537 é obter acesso elevado por meio de credenciais roubadas que permitem exfiltração de dados e ataques destrutivos contra uma organização direcionada, geralmente resultando em extorsão. As táticas e objetivos indicam que este é um ator cibercriminoso motivado por roubo e destruição.

 

O DEV-0537 usa uma variedade de métodos que normalmente se concentram em comprometer as identidades dos usuários para obter acesso inicial a uma organização. Usando as credenciais e/ou tokens de sessão comprometidos, os cibercriminosos acessam sistemas e aplicativos voltados para a Internet. Esses sistemas geralmente incluem rede privada virtual (VPN), protocolo de área de trabalho remota (RDP), infraestrutura de área de trabalho virtual (VDI), incluindo Citrix, ou provedores de identidade (incluindo Azure Active Directory, Okta).

 

O DEV-0537 foi observado aproveitando o acesso a ativos de nuvem para criar novas máquinas virtuais no ambiente de nuvem do alvo, que eles usam como infraestrutura controlada por atores para realizar ataques adicionais na organização de destino. Se eles obtiverem acesso privilegiado ao locatário de nuvem de uma organização (seja AWS ou Azure), eles podem criar contas de administrador global nas instâncias de nuvem da organização, definirem uma regra de transporte de correio de nível de locatário do Office 365 para enviar todos os emails de entrada e saída da organização para a conta recém-criada e, em seguida, removem todas as outras contas de administrador global, para que apenas o ator tenha controle exclusivo dos recursos da nuvem, bloqueando efetivamente a organização de todo o acesso. Após a exfiltração, o DEV-0537 geralmente exclui os sistemas e recursos do alvo.

 

Recomendações 

 

A Microsoft recomenda aos clientes que aumentem e melhorem a conscientização sobre táticas de engenharia social para proteger as organizações. O destaque dessa jornada de cultura de Segurança é na educação dos membros das equipes técnicas para observar e relatar quaisquer contatos incomuns com colegas. Segundo a companhia, os help desks de TI devem estar extremamente vigilantes sobre usuários suspeitos e garantir que eles sejam rastreados e relatados imediatamente.

 

“Recomendamos revisar as políticas de suporte técnico para redefinições de senha para colaboradores e executivos altamente privilegiados, levando em consideração a engenharia social”, diz a companhia. “Incorpore uma cultura de conscientização de segurança em sua organização, educando os funcionários sobre as práticas de verificação de suporte técnico. Incentive-os a relatar contatos suspeitos ou incomuns do suporte técnico. A educação é a defesa número um contra ataques de engenharia social como este e é importante garantir que todos os funcionários estejam cientes dos riscos e das táticas conhecidas”, conclui a Microsoft.

 

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Destaques

Após 5 dias da ação do FBI, LockBit está de volta com novas estratégias de ciberataque

No sábado (24), o administrador do grupo anunciou retomada dos negócios ilícitos, reconhecendo que os sites foram bloqueados pelas polícias...
Security Report | Destaques

A queda do LockBit na visão dos CISOs

Ricardo Castro, da Clash, e Paulo Condutta, do Ouribank, acreditam que, apesar de ser importante o fato de autoridades internacionais...
Security Report | Destaques

CPFL Energia amplia estratégias de defesa cibernética em redes OT

Com apoio tecnológico da CISCO, a distribuidora de energia superou obstáculos e garantiu a implementação de 700 Subestações e Usinas...
Security Report | Destaques

Startup inglesa de SI escolhe o Brasil para expansão internacional

Os planos da Sitehop incluem um novo escritório em São Paulo, parcerias com canais de distribuição em todo o país,...