Le gang d’extorsion numérique LAPSUS$ revendique la fuite de données de Microsoft : la violation a affecté les clients d’Okta

[post-views]
mars 23, 2022 · 4 min de lecture
Le gang d’extorsion numérique LAPSUS$ revendique la fuite de données de Microsoft : la violation a affecté les clients d’Okta

Le 21 mars 2022, le groupe LAPSUS$ a publié une série de messages sur leur chaîne Telegram affichant des captures d’écran de ce qu’ils appelaient le code source de l’assistant visuel Microsoft Bing et Cortana. Outre 40 Go de données divulguées, ils ont également montré un compte administratif compromis d’Okta, une plateforme qui fournit la vérification d’identité numérique pour les individus et les organisations.

Ce dernier est particulièrement alarmant car les produits d’Okta, y compris les outils de gestion d’identité, sont utilisés par des milliers de grandes organisations. Parmi les grands noms figurent Nvidia, Cloudflare, Samsung et le ministère de la Justice des États-Unis. Le groupe LAPSUS$ a prétendu avoir eu accès aux outils internes d’Okta, tels que Slack, Jira, Splunk, AWS depuis janvier 2022. Okta a confirmé l’accès à l’un des ordinateurs portables de l’ingénieur mais a nié le compromis du service lui-même. Ils ont également mentionné qu’environ 2,5% des clients d’Okta auraient pu être affectés. Les médias ont déjà qualifié cet incident de “SolarWinds 2.0”, mais les conséquences de cette brèche sont exponentiellement plus extrêmes.

Okta : Détection de la Brèche LAPSUS$

Pour détecter un comportement suspect d’usurpation de compte sur la plateforme OKTA, vous pouvez déployer la règle Sigma suivante créée par notre développeur principal de Threat Bounty Emir Erdogan:

Usurpation d’un Compte OKTA (Comportement Possible de LAPSUS)

Cette détection a des traductions pour les plateformes suivantes de SIEM, EDR & XDR : Microsoft Sentinel, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Qualys.

La règle est alignée avec le dernier cadre MITRE ATT&CK® v.10, abordant la technique de manipulation des jetons d’accès (T1134) qui appartient à des tactiques telles que l’évasion de la défense et l’élévation de privilèges.

Pour rester en avance sur les menaces cybernétiques émergentes, explorez une collection de règles Sigma organisées disponibles dans le dépôt du Threat Detection Marketplace de la plateforme SOC Prime. Et si vous êtes un chercheur ou un chasseur de menaces avec une solide expérience, vous pouvez contribuer à la sécurité mondiale en rejoignant notre Programme Threat Bounty et en soumettant vos propres contenus de détection.

Voir les Détections Rejoindre le Threat Bounty

Ransomware LAPSUS$: Plus Récentes Recherches

Le Microsoft Threat Intelligence Center (MSTIC) a mené une enquête on sur l’activité du groupe LAPSUS$ , qu’ils appellent également DEV-0537. Selon Microsoft, les ravisseurs de données LAPSUS$ se spécialisent dans l’extorsion et la destruction, visant les comptes de personnes précises travaillant dans des organisations mondiales comme cibles initiales d’accès.

La chaîne de destruction commune par le groupe LAPSUS$ ressemble à ceci :

  • Accès Initial : exécution de l’ingénierie sociale, stealer Redline, identifiants achetés sur les marchés noirs, insiders soudoyés, identifiants exposés dans les dépôts publics, attaque de swap de carte SIM.
  • Accès aux Identifiants : accès aux systèmes et applications exposés à Internet comme Okta pour répondre aux exigences d’authentification multifacteur (MFA).
  • Élévation des Privilèges : gagner en visibilité via des comptes dans Jira, Slack, Gitlab, Confluence pour la reconnaissance.
  • Exfiltration, Destruction et Impact : utiliser les points de sortie de NordVPN, télécharger des données sensibles, puis les utiliser pour l’extorsion ou les télécharger sur des sources publiques.

Contrairement à de nombreux autres groupes d’extorsion, le groupe d’extorsion de données LAPSUS$ agit publiquement. Ils vont jusqu’à annoncer leur intention sur les médias sociaux et “embaucher” des insiders sur leur chaîne Telegram. Une autre tactique rare est qu’ils rejoignent les communications de l’équipe de réponse aux incidents après avoir divulgué les données afin de comprendre les procédés internes de la victime.

Explorez la plateforme Detection as Code de SOC Prime pour accéder aux règles SIGMA de la plus haute qualité ainsi qu’à des traductions vers plus de 20 formats SIEM, EDR, et XDR spécifiques aux vendeurs. La détection précise et opportune est la clé pour organiser un SOC efficace 24/7/365 tandis que vos ingénieurs peuvent s’occuper de tâches plus avancées.

Table des Matières

Cet article vous a-t-il été utile ?

Aimez-le et partagez-le avec vos collègues.
Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité des menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et générer une valeur immédiate, réservez dès maintenant une réunion avec les experts de SOC Prime.
Inscrivez-vous gratuitement Réserver une réunion

Articles connexes

Accéder aux fonctionnalités d’Uncoder AI via l’API 2 min de lecture Plateforme SOC Prime Accéder aux fonctionnalités d’Uncoder AI via l’API by Steven Edwards Rechercher sur la place de marché de détection des menaces d’Uncoder AI 2 min de lecture Plateforme SOC Prime Rechercher sur la place de marché de détection des menaces d’Uncoder AI by Steven Edwards Traduire depuis Sigma en 48 langues 2 min de lecture Plateforme SOC Prime Traduire depuis Sigma en 48 langues by Steven Edwards
Toutes les actualités