Microsoft i Okta detaljno opisali uticaj nedavnih napada ransomver grupe Lapsus$

 
I Microsoft i Okta su priznali da se hakerska grupa Lapsus$ zaista infiltrirala u njihove sisteme, ali obe kompanije su takođe rekle da je uticaj sajber napada bio ograničen. U postu na Microsoft Security blogu, tehnološka kompanija je otkrila da je grupa dobila ograničen pristup svojim sistemima koristeći jedan kompromitovani nalog.Kada je hakerska grupa objavila torrent sa ukradenim podacima, rekla je da paket uključuje 90 procenata Bingovog izvornog koda i 45 procenata koda Cortana i Bing Maps. Microsoft nije rekao da li su kodovi tih proizvoda zaista ukradeni, ali je objasnio da se „ne oslanja na tajnost koda kao bezbednosnu meru i da uvid u izvorni kod ne dovodi do povećanja rizika“. Očigledno, kompanija je već istraživala kompromitovani nalog i pre objave Lapsus$-a. Ovaj potez grupe podstakao je Majkrosoft da dela brže, što mu je dalo prednost i prekine upad sajber-kriminalaca usred njihovog rada, čime je ograničio njihov uticaj.U međuvremenu, Okta je ažurirala svoju staru objavu napravljenu kao odgovor na tvrdnju o hakerskom napadu i otkrila da je oko 2,5 odsto njegovih klijenata bilo izloženo uvidu. Iako kompanija ima desetine hiljada kupaca, ona zapravo podržava „stotine miliona korisnika“. Okta je potvrdila da je već kontaktirala pogođene kupce direktno putem e-pošte.Okta je ranije rekla da je u januaru otkrila petodnevni prozor u kojem je napadač imao pristup laptopu inženjera podrške. Međutim, navodi se da je potencijalni uticaj na korisnike Okte ograničen, jer inženjeri podrške imaju pristup samo ograničenim podacima. Lapsus$ je tvrdio da je ta izjava laž, jer je mogla da se prijavi na „superkorisnički portal sa mogućnošću resetovanja lozinke i MFA“ oko 95 odsto klijenata kompanije.
 
Pogledajte još: Hakerska grupa LAPSUS$ nastavlja niz uspešnih napada
Osim što je objavio rezultate svoje istrage, Microsoft je u svom postu takođe detaljno opisao kako Lapsus$ funkcioniše. Grupa očigledno koristi različite taktike da uđe u sisteme svojih meta, kao što je oslanjanje na društveni inženjering i korišćenje ukradenih lozinki. Takođe kupuje prijave sa Dark web foruma i čak plaća zaposlenima koji rade u ciljnim organizacijama da koriste svoje akreditive, odobravaju MFA upite i da instaliraju softver za daljinsko upravljanje na korporativnoj radnoj stanici ako je potrebno. Povremeno, takođe vrši napade zamene SIM kartice da bi dobio pristup telefonskom broju korisnika kako bi primio njihove dvofaktorske kodove, prenosi Engadget.Ako u početku dobije pristup akreditivima naloga samo za nekoga sa ograničenim privilegijama, istražuje kanale saradnje kompanije kao što su Teams i Slack ili iskorišćava ranjivosti da bi dobio podatke za prijavu za korisnike na višim pozicijama u organizaciji. Microsoft je rekao da je grupa počela ciljanjem na račune kriptovaluta, krađom novčanika i sredstava. Na kraju je ciljala i telekomunikacione kompanije, visokoškolske ustanove i vladine organizacije u Južnoj Americi, a zatim i širom sveta.
 
Benchmark možete pratiti i na društvenim mrežama | Facebook | Twitter | Instagram | YouTube |Na Benchmark forumu uvek možete učestvovati u kvalitetnim i aktuelnim diskusijama iz IT industrije