Microsoft advierte sobre ataques destructivos del grupo de ciberdelincuencia Lapsus$

Usando ingeniería social en lugar de tácticas tradicionales de ransomware, el grupo Lapsus$ ya ha afectado a varias organizaciones, dice Microsoft.

Un grupo de ciberdelincuentes relativamente nuevo ha ganado rápidamente una reputación infame por sus tácticas únicas y ataques exitosos contra varias organizaciones importantes. Conocida como Lapsus$, la pandilla utiliza la ingeniería social para atacar a sus víctimas y, según los informes, ha atacado a empresas como Samsung, Okta, NVIDIA y Microsoft. en un entrada en el blog Publicado el martes, Microsoft proporciona información sobre las tácticas y técnicas del grupo y ofrece consejos sobre cómo proteger su organización de estos ataques.

VER: Google Chrome: consejos de seguridad e interfaz de usuario que debe conocer (Premium de TechRepublic)

Lapsus$, también denominado DEV-0537 por Microsoft, utiliza un modelo de ataque de extorsión y destrucción sin depender de las típicas cargas de ransomware. Para aprovecharse de las víctimas potenciales, el grupo emplea varios tipos de esquemas de ingeniería social.

Tácticas de Lapsus$

Como táctica, Lapsus$ utiliza la ingeniería social basada en el teléfono a través del intercambio de SIM para comprometer el teléfono de la víctima. Con el intercambio de SIM, un delincuente convence o incluso paga a un empleado de un operador de telefonía móvil para que cambie el número de teléfono de la víctima a una tarjeta SIM propiedad del atacante. Cualquier solicitud de autenticación multifactor se dirige al teléfono del delincuente a través de una llamada o un mensaje de texto, lo que le permite hacerse cargo de la cuenta de la víctima.

Como otra táctica, Lapsus$ comprometerá las cuentas personales o privadas de alguien como una forma de obtener acceso a sus cuentas relacionadas con el trabajo. Un empleado a menudo usará sus cuentas personales o su número de teléfono como método para recuperar contraseñas o para MFA, abriendo la puerta para que un delincuente restablezca una contraseña o se haga cargo de una cuenta.

En algunos casos, los miembros de la pandilla llamarán a la mesa de ayuda de una organización e intentarán persuadir al representante de soporte para que restablezca las credenciales de una cuenta privilegiada. Para parecer más convincente, el grupo usa cualquier información recopilada previamente sobre la cuenta y hace que una persona de habla inglesa hable con el representante de la mesa de ayuda.

En otra táctica más, Lapsus$ busca empleados y socios comerciales dispuestos a brindar acceso a las credenciales de la cuenta y detalles de MFA para el pago. El blog de Microsoft incluye un ejemplo de un anuncio de Lapsus$ que busca empleados en centros de llamadas, operadores de telefonía móvil y grandes corporaciones que deseen compartir VPN o acceso Citrix a una red por dinero.

Más allá de estos trucos de ingeniería social, Lapsus$ lleva a cabo métodos más tradicionales para obtener acceso a cuentas, redes y otros activos confidenciales. El grupo comprará credenciales y tokens de foros en Dark Web, escaneará repositorios de códigos públicos en busca de credenciales expuestas y utilizará un ladrón de contraseñas conocido como Redline para capturar contraseñas y tokens.

Además, Lapsus$ intentará explotar fallas de seguridad en herramientas basadas en la web como Confluence, JIRA y GitLab, según Microsoft. Al comprometer los servidores que alojan estas herramientas, el grupo intenta obtener las credenciales de una cuenta privilegiada y luego usa un comando integrado de Microsoft conocido como ntdsutil para extraer la base de datos de Active Directory de una red objetivo.

VER: Violación de contraseña: por qué la cultura pop y las contraseñas no se mezclan (PDF gratuito) (República Tecnológica)

Del mismo modo, Lapsus$ utiliza una herramienta de Active Directory llamada AD Explorer para recopilar los nombres de todos los usuarios y grupos en un dominio de red. Al determinar qué cuentas tienen mayores privilegios, el grupo luego busca plataformas como SharePoint, Confluence, JIRA, GitLab y GitHub para encontrar aún más credenciales de cuenta con privilegios altos a través de las cuales puede acceder a datos confidenciales adicionales.

Lapsus$, que surgió en diciembre de 2021, se centró inicialmente en organizaciones de telecomunicaciones, educación superior y gubernamentales en América del Sur, dijo Microsoft. Estos primeros ataques a menudo comprometían las cuentas de criptomonedas para robar sus billeteras digitales. Desde entonces, el grupo ha ampliado su alcance en todo el mundo, llegando a organizaciones de fabricación, venta minorista, atención médica y otros sectores.

Una de las víctimas más públicas de la pandilla ha sido la propia Microsoft. La compañía dijo que encontró una sola cuenta que había sido comprometida por Lapsus$, lo que le dio al grupo acceso limitado. Aunque Lapsus$ afirmó que exfiltró partes del código fuente, Microsoft dijo que no encontró ningún código o datos expuestos en el compromiso.

Cómo evitar ser víctima de Lapsus$

Para ayudar a las organizaciones a protegerse contra los ataques Lapsus$, Microsoft ofrece los siguientes consejos:

• Requerir MFA. Aunque la táctica de intercambio de SIM utilizada por Lapsus$ está diseñada para frustrar la MFA, este tipo de autenticación sigue siendo imprescindible. La MFA debe ser necesaria para todos los usuarios de todas las ubicaciones, incluidos los de ubicaciones de confianza y los sistemas locales.
• Evite MFA basado en teléfono y SMS. A la luz de los métodos empleados por Lapsus$, no confíe en MFA que utiliza una llamada telefónica o un mensaje SMS para autenticar a un usuario. En su lugar, recurra a métodos más seguros como FIDO Tokens o Microsoft Authenticator con coincidencia de números.
• Utilice la protección con contraseña de Azure AD. Este tipo de protección asegura que los usuarios no confíen en contraseñas simples o fáciles de adivinar. Para obtener más detalles, consulte la publicación de blog de Microsoft sobre ataques de rociado de contraseñas.
• Aproveche otras herramientas de autenticación de contraseña. Tales métodos como Windows Hello for Business, Microsoft Authenticator y tokens FIDO pueden reducir algunos de los riesgos con las contraseñas.
• Revisa tu autenticación de VPN. Para manejar la detección de inicio de sesión basada en riesgos, su autenticación de VPN debe aprovechar opciones como OAuth o SAML conectado a Azure AD. Este tipo de autenticación VPN ha demostrado su eficacia contra los ataques de Lapsus$, según Microsoft.
• Supervise y revise la seguridad de su nube. Esto significa revisar su Configuraciones de riesgo de sesión y usuario de acceso condicionalimplementar alertas sobre cualquier modificación de alto riesgo en una configuración de arrendatario, y observando detecciones de riesgo en Azure AD Identity Protection.
• Educar a todos los empleados sobre los ataques de ingeniería social. Instruya a su personal de TI y de la mesa de ayuda para que esté atento a los usuarios sospechosos y las comunicaciones inusuales con sus colegas. Revise las políticas de la mesa de ayuda sobre el restablecimiento de contraseñas, especialmente aquellas para usuarios con muchos privilegios. Además, aliente a los usuarios a informar cualquier comunicación sospechosa o inusual de la mesa de ayuda.
• Configurar procesos de seguridad en respuesta a posibles intrusiones de Lapsus$. Lapsus$ monitorea las comunicaciones de respuesta a incidentes como una de sus tácticas. Como resultado, debe monitorear estos tipos de canales de comunicación para detectar asistentes o accesos no autorizados.