Il gruppo di estorsione digitale LAPSUS$ rivendica la fuga di dati di Microsoft: la violazione ha colpito i clienti di Okta

[post-views]
Marzo 23, 2022 · 4 min di lettura
Il gruppo di estorsione digitale LAPSUS$ rivendica la fuga di dati di Microsoft: la violazione ha colpito i clienti di Okta

Il 21 marzo 2022, la gang LAPSUS$ ha pubblicato una serie di post nel loro canale Telegram mostrando screenshot di quello che hanno chiamato il codice sorgente di Microsoft Bing e Cortana, assistente visivo. Oltre a 40 Gb di dati trapelati, hanno anche mostrato un account amministrativo compromesso di Okta, una piattaforma che fornisce la verifica dell’identità digitale per individui e organizzazioni.

Quest’ultimo è particolarmente allarmante perché i prodotti di Okta, inclusi gli strumenti di gestione dell’identità, vengono usati da migliaia di grandi organizzazioni. Tra i grandi nomi ci sono Nvidia, Cloudflare, Samsung e il Dipartimento di Giustizia degli Stati Uniti. Il gruppo LAPSUS$ ha affermato di aver avuto accesso agli strumenti interni di Okta, come Slack, Jira, Splunk, AWS, a partire da gennaio 2022. Okta ha confermato l’accesso a uno dei laptop degli ingegneri ma ha negato la compromissione del servizio stesso. Hanno anche menzionato che circa il 2,5% dei client di Okta potrebbe essere stato colpito. I media hanno già chiamato questo incidente “SolarWinds 2.0”, tuttavia le conseguenze di questa violazione sono esponenzialmente più estreme.

Okta: Rilevamento Violazione LAPSUS$

Per rilevare comportamenti sospetti di impersonificazione degli account sulla piattaforma OKTA, puoi implementare la seguente regola Sigma creata dal nostro rinomato sviluppatore Threat Bounty Emir Erdogan:

Impersonificazione di un Account OKTA (Possibile comportamento LAPSUS)

Questa rilevazione ha traduzioni per le seguenti piattaforme SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Qualys.

La regola è allineata con l’ultima versione v.10 del framework MITRE ATT&CK®, affrontando la tecnica di Manipolazione del Token di Accesso (T1134) che appartiene a tattiche come Evasione Difensiva e Escalation dei Privilegi.

Per rimanere all’avanguardia delle emergenti minacce cibernetiche, esplora una collezione di regole Sigma curate disponibili nel repository del Threat Detection Marketplace della piattaforma SOC Prime. E se sei un ricercatore o un cacciatore di minacce con una solida esperienza, puoi contribuire alla sicurezza globale unendoti al nostro Threat Bounty Program e sottoponendo i tuoi contenuti di rilevamento.

Visualizza Rilevazioni Unisciti al Threat Bounty

Ransomware LAPSUS$: Ultime Ricerche

Microsoft Threat Intelligence Center (MSTIC) ha condotto un dettagliato investigazione on attività della Gang LAPSUS$ , che chiamano anche DEV-0537. I rapitori di dati di LAPSUS$, secondo Microsoft, si specializzano in estorsione e distruzione, prendendo di mira account di individui precisi che lavorano in organizzazioni globali come obiettivi di accesso iniziali.

La comune catena di attacco da parte del gruppo LAPSUS$ sembra così:

  • Accesso Iniziale: esecuzione di ingegneria sociale, stealer Redline, credenziali acquistate sui mercati neri, insider corrotti, credenziali esposte in repository pubblici, attacco SIM-swapping.
  • Accesso alle Credenziali: ottenere accesso a sistemi e applicazioni esposti a internet come Okta per soddisfare i requisiti di autenticazione a più fattori (MFA).
  • Escalation dei Privilegi: ottenere visibilità tramite account in Jira, Slack, Gitlab, Confluence per ricognizione.
  • Esfiltrazione, Distruzione, e Impatto: utilizzare i punti di uscita NordVPN, scaricare dati sensibili, quindi usarli per estorsioni o caricarli su fonti pubbliche.

A differenza di molte altre bande di estorsori, il gruppo di estorsione dati LAPSUS$ agisce pubblicamente. Arrivano al punto di annunciare la loro intenzione sui social media e “assumere” insider sul loro canale Telegram. Un’altra tattica rara è che si uniscono alle comunicazioni del team di risposta agli incidenti dopo aver trapelato i dati nel tentativo di comprendere i processi interni della vittima.

Esplora la piattaforma Detection as Code di SOC Prime per accedere alle regole SIGMA della più alta qualità insieme a traduzioni in più di 20 formati specifici di fornitori SIEM, EDR e XDR. Una rilevazione accurata e tempestiva è fondamentale per organizzare un SOC efficiente 24/7/365 mentre i tuoi ingegneri possono affrontare compiti più avanzati.

Indice dei Contenuti

Questo articolo è stato utile?

Metti mi piace e condividilo con i tuoi colleghi.
Unisciti alla piattaforma Detection as Code di SOC Prime per migliorare la visibilità sulle minacce più rilevanti per il tuo business. Per aiutarti a iniziare e ottenere valore immediato, prenota ora un incontro con gli esperti di SOC Prime.
Iscriviti gratis Prenota un incontro

Articoli correlati

Accedi alla Funzionalità di Uncoder AI tramite API 2 min di lettura Piattaforma SOC Prime Accedi alla Funzionalità di Uncoder AI tramite API by Steven Edwards Cerca il Mercato delle Rilevazioni delle Minacce con Uncoder AI 2 min di lettura Piattaforma SOC Prime Cerca il Mercato delle Rilevazioni delle Minacce con Uncoder AI by Steven Edwards Tradurre da Sigma in 48 Lingue 2 min di lettura Piattaforma SOC Prime Tradurre da Sigma in 48 Lingue by Steven Edwards
Tutte le notizie