Lapsus$-hackers beweren inbreuk te hebben gemaakt op Microsoft en authenticatiebedrijf Okta

piratas informáticos Nachrichten

Microsoft en authenticatieserviceprovider Okta zeiden dat ze claims onderzoeken van een mogelijke inbreuk die wordt beweerd door de LAPSUS$-afpersingsbende.

De ontwikkeling, die voor het eerst werd gemeld door Ondeugd en Reuterskomt nadat de cybercriminelengroep screenshots en broncode plaatste van wat volgens haar de interne projecten en systemen van de bedrijven waren op haar Telegram-kanaal.

Uit het gelekte archief van 37 GB blijkt dat de groep mogelijk toegang heeft gehad tot de repositories met betrekking tot Microsoft’s Bing, Bing Maps en Cortana, met de afbeeldingen met aandacht voor Okta’s Atlassian-suite en interne Slack-kanalen.

“Voor een service die authenticatiesystemen aanstuurt voor veel van de grootste bedrijven (en goedgekeurd door FEDRAMP), denk ik dat deze beveiligingsmaatregelen behoorlijk slecht zijn”, schreef de groep op Telegram.

Bovendien beweerde de groep dat het LG Electronics (LGE) voor de “tweede keer” in een jaar tijd had geschonden.

Bill Demirkapi, beveiligingsonderzoeker bij Zoom, dat is genoteerd dat “LAPSUS$ toegang lijkt te hebben gekregen tot de Cloudflare-tenant met de mogelijkheid om de wachtwoorden van werknemers opnieuw in te stellen”, en voegt eraan toe dat het bedrijf “de inbreuk gedurende ten minste twee maanden niet publiekelijk heeft erkend.”

LAPSUS$ heeft sindsdien duidelijk gemaakt dat het de databases van Okta niet heeft geschonden en dat “onze focus ALLEEN op Okta-klanten lag.” Dit kan ernstige gevolgen hebben voor andere overheidsinstanties en bedrijven die op Okta vertrouwen om gebruikerstoegang tot interne systemen te verifiëren.

“Eind januari 2022 ontdekte Okta een poging om het account van een externe klantondersteuningstechnicus die voor een van onze subprocessors werkte, te compromitteren. De zaak werd onderzocht en onder controle gebracht door de subprocessor,” Okta CEO Todd McKinnon zei in een tweet.

“We denken dat de online gedeelde schermafbeeldingen verband houden met dit evenement in januari. Op basis van ons onderzoek tot nu toe is er geen bewijs van aanhoudende kwaadaardige activiteit buiten de activiteit die in januari werd gedetecteerd”, voegde McKinnon eraan toe.

Cloudflare, als reactie, zei het reset de Okta-inloggegevens van werknemers die hun wachtwoord in de afgelopen vier maanden hebben gewijzigd, uit voorzichtigheid.

In tegenstelling tot traditionele ransomware-groepen die het dubbele afpersingsschema volgen om gegevens van een slachtoffer te stelen en die informatie vervolgens te versleutelen in ruil voor een betaling, is de nieuwkomer in het bedreigingslandschap focust meer over gegevensdiefstal en het gebruik ervan om de doelen te chanteren.

In de maanden sinds het eind december 2021 actief werd, heeft de cybercriminaliteitsbende een lange lijst van spraakmakende slachtoffers verzameld, waaronder Impresa, NVIDIA, Samsung, Mercado Libre, Vodafone en meest recentelijk Ubisoft.

“Elke succesvolle aanval op een serviceprovider of softwareontwikkelaar kan een verdere impact hebben die verder gaat dan die eerste aanval”, zei Mike DeNapoli, hoofdbeveiligingsarchitect van Cymulate, in een verklaring. “Gebruikers van de diensten en platforms moeten erop worden gewezen dat er mogelijke supply chain-aanvallen zijn waartegen moet worden verdedigd.”

David
Rate author
Hackarizona