Microsoft confirmó que fue hackeado por una peligrosa banda de ciberdelincuentes

El grupo de hackers Lapsus$ afirmó hace unos días que tenía en su poder código fuente de Bing, Cortana y otros proyectos robados del servidor interno Azure DevOps de Microsoft.

El domingo por la mañana, la banda publicó una captura de pantalla en su canal de Telegram que indicaba que vulneraron el servidor Azure DevOps de Microsoft. Este servidor contenía el código fuente para Bing, Cortana y varios otros proyectos internos de la empresa.

El lunes por la noche, el grupo de hacking  publicó un torrent de un archivo 7zip de 9 GB que contiene el código fuente de más de 250 proyectos. El archivo, según afirmaron, pertenecía a Microsoft.

Al publicar el torrent, Lapsus$ dijo que contenía el 90 % del código fuente de Bing y aproximadamente el 45 % del código de Bing Maps y Cortana.

Aunque dicen que solo filtraron parte del código fuente,  el archivo sin comprimir contiene aproximadamente 37 GB de código fuente de varios proyectos internos de Microsoft.

Confirmación del incidente

Ahora bien, un día después Microsoft confirmó que uno de sus empleados se vio comprometido por el grupo de hacking Lapsus$. El incidente permitió a los atacantes acceder y robar partes de su código fuente.

En una nueva publicación realizada la noche del martes en su blog, Microsoft confirmó que Lapsus$ vulneró la cuenta de uno de sus empleados, proporcionando acceso limitado a los repositorios de código fuente.

“Ningún código de cliente o datos estuvieron involucrados en las actividades observadas. Nuestra investigación encontró que una sola cuenta se vio comprometida, otorgando acceso limitado. Nuestros equipos de respuesta de seguridad cibernética se comprometieron rápidamente para recuperar la cuenta comprometida y evitar más actividad”.

“Microsoft no confía en el secreto del código como medida de seguridad y ver el código fuente no conduce a una elevación del riesgo. Las tácticas de DEV-0537 utilizadas en esta intrusión reflejan las tácticas y técnicas discutidas en este artículo”.

Explicación en el aviso de Microsoft sobre los atacantes de  Lapsus$.

Microsoft asegura que su equipo ya estaba investigando la cuenta comprometida en base a inteligencia de amenazas cuando el atacante reveló públicamente la intrusión. La divulgación pública intensificó las acciones, lo que permitió a su equipo intervenir e interrumpir al atacante en medio de la operación, lo que limitó un impacto más amplio.

La empresa no compartió cómo se comprometió la cuenta. Sin embargo,  proporcionó una descripción general de las tácticas, técnicas y procedimientos (TTP) de la banda Lapsus observados en múltiples ataques.

Centrarse en las credenciales comprometidas

Microsoft está rastreando al grupo de extorsión de datos Lapsus$ como ‘DEV-0537’. Y, según afirma se enfocan principalmente en obtener credenciales comprometidas para el acceso inicial a las redes corporativas.

Estas credenciales se obtienen utilizando los siguientes métodos:

• Implementación del ladrón de contraseñas malicioso Redline para obtener contraseñas y tokens de sesión
• Compra de credenciales y tokens de sesión en foros clandestinos criminales
• Pagar a los empleados de las organizaciones específicas (o proveedores/socios comerciales) por el acceso a las credenciales y la aprobación de la autenticación multifactor (MFA)
• Búsqueda de repositorios de códigos públicos para credenciales expuestas

El ladrón de contraseñas Redline se ha  convertido en el malware elegido  para robar credenciales. Este generalmente se distribuye a través de correos electrónicos de phishing, sitios warez y videos de YouTube.

Una vez que Lapsus$ obtiene acceso a las credenciales comprometidas, las usan para iniciar sesión en los dispositivos y sistemas públicos de una empresa, incluidas las VPN, la infraestructura de escritorio virtual o los servicios de administración de identidades, como Okta, que  vulneraron en enero .

Microsoft dice que usan ataques de repetición de sesión para cuentas que utilizan MFA. También activan continuamente notificaciones de MFA hasta que el usuario se cansa de ellas y confirma que se le debe permitir iniciar sesión.

Microsoft afirma que en al menos un ataque, Lapsus$ realizó un ataque de intercambio de SIM. Este ataque les permitió obtener el control de los números de teléfono y los mensajes de texto del usuario para obtener acceso a los códigos MFA necesarios para iniciar sesión en una cuenta.

Escalando privilegios

Una vez que obtienen acceso a una red, los atacantes usan  AD Explorer  para encontrar cuentas con privilegios más altos. Posteriormente apuntan a plataformas de desarrollo y colaboración, como SharePoint, Confluence, JIRA, Slack y Microsoft Teams, donde se roban otras credenciales. 

El grupo de hacking también usa estas credenciales para obtener acceso a los repositorios de código fuente en GitLab, GitHub y Azure DevOps, como vimos con el ataque a Microsoft.

“También sabemos que DEV-0537 explota vulnerabilidades en Confluence, JIRA y GitLab para escalar privilegios”. 

“El grupo comprometió los servidores que ejecutan estas aplicaciones para obtener las credenciales de una cuenta privilegiada o ejecutarlas en el contexto de dicha cuenta y obtener las credenciales desde allí”.

Informe de Microsoft

Luego, los atacantes recolectan datos valiosos y los exfiltran a través de las conexiones de NordVPN para ocultar sus ubicaciones. Esto ocurre mientras realizan ataques destructivos en la infraestructura de las víctimas para desencadenar procedimientos de respuesta a incidentes. 

Los atacantes luego monitorean estos procedimientos a través de los canales de Slack o Microsoft Teams de la víctima.

Protección contra Lapsus$

Microsoft recomienda que las entidades corporativas realicen los siguientes pasos para protegerse contra ciberdelincuentes como Lapsus$:

• Fortalecer la implementación de MFA
• Requerir puntos finales activos y confiables
• Aprovechar las opciones de autenticación modernas para las VPN
• Fortalecer y supervisar tu postura de seguridad en la nube
• Mejorar el conocimiento de los ataques de ingeniería social
• Establecer procesos de seguridad operativa en respuesta a las intrusiones realizadas por DEV-0537

Lapsus$ ha realizado recientemente numerosos ataques contra empresas de renombre, incluidas  NVIDIA,  Samsung,  Vodafone ,  Ubisoft ,  Mercado Libre y ahora Microsoft.

Por lo tanto, recomendamos enfáticamente que los administradores de redes y seguridad se familiaricen con las tácticas utilizadas por este grupo al leer el informe de Microsoft.