Gangue de Extorsão Digital LAPSUS$ Alega Vazamento de Dados da Microsoft: Violação Afetou Clientes Okta

[post-views]
Março 23, 2022 · 4 min de leitura
Gangue de Extorsão Digital LAPSUS$ Alega Vazamento de Dados da Microsoft: Violação Afetou Clientes Okta

Em 21 de março de 2022, a gangue LAPSUS$ publicou uma série de postagens em seu canal do Telegram exibindo capturas de tela do que eles chamaram de código-fonte do Microsoft Bing e do assistente visual Cortana. Além de 40 Gb de dados vazados, eles também mostraram uma conta administrativa comprometida da Okta, uma plataforma que fornece verificação de identidade digital para indivíduos e organizações.

O último é especialmente alarmante porque os produtos da Okta, incluindo ferramentas de gestão de identidade, são utilizados por milhares de grandes organizações. Entre os grandes nomes estão Nvidia, Cloudflare, Samsung e o Departamento de Justiça dos EUA. O grupo LAPSUS$ afirmou que teve acesso às ferramentas internas da Okta, como Slack, Jira, Splunk, AWS desde janeiro de 2022. A Okta confirmou o acesso a um dos laptops dos engenheiros, mas negou o comprometimento do próprio serviço. Eles também mencionaram que cerca de 2,5% dos clientes da Okta podem ter sido afetados. Meios de comunicação já chamaram este incidente de “SolarWinds 2.0”, porém as consequências desta violação são exponencialmente mais extremas.

Okta: Detecção de Violação LAPSUS$

Para detectar comportamento suspeito de personificação de contas na plataforma OKTA, você pode implantar a seguinte regra Sigma criada pelo nosso proeminente desenvolvedor de Bounty de Ameaças Emir Erdogan:

Personificação de uma Conta OKTA (Possível comportamento LAPSUS$)

Esta detecção possui traduções para as seguintes plataformas SIEM, EDR & XDR: Microsoft Sentinel, Elastic Stack, Splunk, Sumo Logic, ArcSight, QRadar, Humio, FireEye, LogPoint, Graylog, Regex Grep, RSA NetWitness, Apache Kafka ksqlDB, Qualys.

A regra está alinhada com a estrutura mais recente do MITRE ATT&CK® v.10, abordando a técnica de Manipulação de Token de Acesso (T1134) que pertence a táticas como Evasão de Defesa e Escalação de Privilégio.

Para se antecipar às ameaças cibernéticas emergentes, explore uma coleção de regras Sigma curadas disponíveis no repositório de Threat Detection Marketplace da plataforma SOC Prime. E se você é um pesquisador ou caçador de ameaças com sólida experiência, pode contribuir para a segurança global juntando-se ao nosso Programa de Bounty de Ameaças e enviando seu próprio conteúdo de detecção.

Ver Detecções Junte-se ao Threat Bounty

Ransomware LAPSUS$: Pesquisa mais Recente

O Microsoft Threat Intelligence Center (MSTIC) conduziu uma detalhada investigação on sobre a atividade da Gangue LAPSUS$ , que eles também chamam de DEV-0537. Segundo a Microsoft, os sequestradores de dados LAPSUS$ especializam-se em extorsão e destruição, visando contas de indivíduos precisos que trabalham em organizações globais como alvos de acesso inicial.

A cadeia de ataque comum do grupo LAPSUS$ parece como:

  • Acesso Inicial: executando engenharia social, Redline stealer, credenciais compradas em mercados obscuros, insiders subornados, credenciais expostas em repositórios públicos, ataque de troca de SIM.
  • Acesso a Credenciais: obtendo acesso a sistemas e aplicações voltados para a internet como Okta para atender aos requisitos de autenticação multifator (MFA).
  • Escalação de Privilégio: obtendo visibilidade via contas no Jira, Slack, Gitlab, Confluence para reconhecimento.
  • Exfiltração, Destruição e Impacto: usando pontos de saída do NordVPN, descarregando dados sensíveis, em seguida, usando-os para extorsão ou carregando em fontes públicas.

Diferente de muitas outras gangues de extorsão, o grupo de extorsão de dados LAPSUS$ age publicamente. Eles vão ao ponto de anunciar sua intenção nas redes sociais e “contratar” insiders em seu canal do Telegram. Outra tática rara é que eles se juntam às comunicações da equipe de resposta a incidentes após terem vazado os dados, numa tentativa de entender os processos internos da vítima.

Explore a plataforma Detection as Code da SOC Prime para acessar as regras SIGMA da mais alta qualidade, juntamente com traduções para mais de 20 formatos específicos de fornecedor de SIEM, EDR e XDR. A detecção precisa e oportuna é fundamental para organizar um SOC eficiente 24/7/365 enquanto seus engenheiros podem assumir tarefas mais avançadas.

Tabela de Conteúdos

Este artigo foi útil?

Curta e compartilhe com seus colegas.
Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e obter valor imediato, agende uma reunião agora com os especialistas da SOC Prime.
Junte-se Gratuitamente Agende uma Reunião

Publicações Relacionadas

Acessar Funcionalidade do Uncoder AI via API 2 min de leitura Plataforma SOC Prime Acessar Funcionalidade do Uncoder AI via API by Steven Edwards Pesquisar Marketplace de Detecção de Ameaças com Uncoder AI 2 min de leitura Plataforma SOC Prime Pesquisar Marketplace de Detecção de Ameaças com Uncoder AI by Steven Edwards Traduzir do Sigma para 48 Idiomas 2 min de leitura Plataforma SOC Prime Traduzir do Sigma para 48 Idiomas by Steven Edwards
Todas as notícias