La banda de extorsión digital LAPSUS$ afirma la filtración de datos de Microsoft: la brecha afectó a clientes de Okta

[post-views]
marzo 23, 2022 · 3 min de lectura
La banda de extorsión digital LAPSUS$ afirma la filtración de datos de Microsoft: la brecha afectó a clientes de Okta

El 21 de marzo de 2022, la banda LAPSUS$ publicó una serie de publicaciones en su canal de Telegram mostrando capturas de pantalla de lo que llamaron el código fuente del asistente visual de Microsoft Bing y Cortana. Además de 40 Gb de datos filtrados, también mostraron una cuenta administrativa comprometida de Okta, una plataforma que proporciona verificación de identidad digital para individuos y organizaciones.

Esta última es especialmente alarmante porque los productos de Okta, incluidas las herramientas de gestión de identidades son utilizadas por miles de grandes organizaciones. Entre los nombres importantes se encuentran Nvidia, Cloudflare, Samsung y el Departamento de Justicia de los EE. UU. El grupo LAPSUS$ afirmó que tenían acceso a las herramientas internas de Okta, como Slack, Jira, Splunk, AWS desde enero de 2022. Okta confirmó el acceso a uno de los portátiles del ingeniero, pero negó el compromiso del servicio en sí. También mencionaron que alrededor del 2.5% de los clientes de Okta podrían haber sido afectados. Los medios ya llamaron a este incidente “SolarWinds 2.0”, sin embargo, las consecuencias de esta violación son exponencialmente más extremas.

Okta: Detección de la Brecha LAPSUS$

Para detectar el comportamiento sospechoso de suplantación de cuentas en la plataforma OKTA, puede desplegar la siguiente regla Sigma creada por nuestro destacado desarrollador de Threat Bounty Emir Erdogan:

Suplantación de una Cuenta de OKTA (Posible comportamiento de LAPSUS)

Esta detección tiene traducciones a las siguientes plataformas SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Qualys.

La regla está alineada con el último marco MITRE ATT&CK® v.10, abordando la técnica de Manipulación de Tokens de Acceso (T1134) que pertenece a tácticas como Evasión de Defensa y Escalación de Privilegios.

Para adelantarse a las amenazas cibernéticas emergentes, explore una colección de reglas Sigma curadas disponibles en el repositorio del Mercado de Detección de Amenazas de la plataforma SOC Prime. Y si es un investigador o cazador de amenazas con experiencia sólida, puede contribuir a la seguridad global uniéndose a nuestro Programa Threat Bounty y enviando su propio contenido de detección.

Ver Detecciones Unirse a Threat Bounty

Ransomware LAPSUS$: Nueva Investigación

El Centro de Inteligencia de Amenazas de Microsoft (MSTIC) llevó a cabo una detallada investigación on sobre la actividad de la Banda LAPSUS$ , a la que también denominan DEV-0537. Según Microsoft, los secuestradores de datos LAPSUS$ se especializan en extorsión y destrucción, apuntando a cuentas de individuos precisos que trabajan en organizaciones globales como objetivos iniciales de acceso.

La cadena de destrucción habitual del grupo LAPSUS$ se parece a:

  • Acceso Inicial: ejecutar ingeniería social, stealer de Redline, credenciales compradas en mercados oscuros, insiders sobornados, credenciales expuestas en repositorios públicos, ataque de SIM-swapping.
  • Acceso a Credenciales: obtener acceso a sistemas y aplicaciones expuestos a Internet como Okta para cumplir con los requisitos de autenticación multifactor (MFA).
  • Escalación de Privilegios: ganar visibilidad a través de cuentas en Jira, Slack, Gitlab, Confluence para reconocimiento.
  • Exfiltración, Destrucción e Impacto: usando puntos de salida NordVPN, descargando datos sensibles, luego usándolos para extorsión o subiéndolos a fuentes públicas.

A diferencia de muchas otras bandas de extorsión, el grupo de extorsión de datos LAPSUS$ actúa públicamente. Llegan al extremo de anunciar su intención en las redes sociales y “contratar” insiders en su canal de Telegram. Otra táctica poco común es que se unen a las comunicaciones del equipo de respuesta a incidentes después de haber filtrado los datos en un intento por comprender los procesos internos de la víctima.

Explorar la plataforma Detection as Code de SOC Prime para acceder a las reglas SIGMA de la más alta calidad junto con traducciones a más de 20 formatos específicos de proveedores SIEM, EDR y XDR. La detección precisa y oportuna es clave para organizar un SOC 24/7/365 eficiente mientras sus ingenieros pueden asumir tareas más avanzadas.

Tabla de Contenidos

¿Fue útil este artículo?

Dale me gusta y compártelo con tus compañeros.
Únase a la plataforma Detection as Code de SOC Prime para mejorar la visibilidad de las amenazas más relevantes para su negocio. Para ayudarle a comenzar y obtener un valor inmediato, reserve una reunión ahora con los expertos de SOC Prime.
Únase Gratis Reserve una Reunión

Publicaciones relacionadas

Acceder a la Funcionalidad de Uncoder AI a través de API 2 min de lectura Plataforma SOC Prime Acceder a la Funcionalidad de Uncoder AI a través de API by Steven Edwards Buscar en el Mercado de Detección de Amenazas de Uncoder AI 2 min de lectura Plataforma SOC Prime Buscar en el Mercado de Detección de Amenazas de Uncoder AI by Steven Edwards Traducir de Sigma a 48 idiomas 2 min de lectura Plataforma SOC Prime Traducir de Sigma a 48 idiomas by Steven Edwards
Todas las noticias