A principios de esta semana, Microsoft actualizó un aviso sobre las actividades de Dev-0537, que ha llevado a cabo una campaña de ingeniería social y extorsión a gran escala contra múltiples organizaciones. La actualización destacó las técnicas utilizadas por los atacantes y los riesgos de confiar en la seguridad de TI centralizada y los procesos de seguridad de TI.
También conocido como Lapsus$, el grupo ha llevado a cabo una campaña de extorsión en el Reino Unido y América del Sur. Ahora se ha expandido a objetivos globales, incluidas organizaciones gubernamentales, tecnológicas, de telecomunicaciones, de medios, minoristas y de atención médica.
Según Microsoft, Dev-0537 usa varias tácticas que otros actores de amenazas rastreados por Microsoft usan con menos frecuencia. “Sus tácticas incluyen ingeniería social basada en teléfonos, intercambio de SIM para facilitar la toma de control de cuentas, acceso a cuentas de correo electrónico personales de empleados en organizaciones objetivo, pago a empleados, proveedores o socios comerciales de organizaciones objetivo para acceder a credenciales y aprobación de autenticación multifactor (MFA), e inmiscuirse en las llamadas de comunicación de crisis en curso de sus objetivos”, advirtió Microsoft en el aviso.
Microsoft dijo que también había encontrado casos en los que el grupo obtuvo acceso con éxito a organizaciones objetivo por parte de empleados reclutados, o empleados de sus proveedores o socios comerciales. Dev-0537 anunció que quería comprar credenciales para sus objetivos para atraer a los empleados o contratistas a participar en su operación.
Otras técnicas utilizadas por los atacantes incluyen la implementación del ladrón de contraseñas malicioso Redline para obtener contraseñas y tokens de sesión, comprar credenciales y tokens de sesión de foros clandestinos criminales y pagar a los empleados de las organizaciones objetivo, o proveedores/socios comerciales, para acceder a las credenciales y la aprobación de MFA. También buscan en los repositorios de códigos públicos las credenciales expuestas.
Microsoft instó a los jefes de seguridad a adoptar procesos de detección y respuesta similares a los programas de riesgo interno, combinados con plazos de respuesta cortos necesarios para hacer frente a amenazas externas maliciosas.
Según el Microsoft Threat Intelligence Center (MSTIC), el objetivo de Dev-0537 es obtener acceso elevado a través de credenciales robadas que permiten el robo de datos y ataques destructivos contra una organización objetivo. Informó que los piratas informáticos centraron sus esfuerzos de ingeniería social para recopilar conocimientos sobre las operaciones comerciales de su objetivo.
Dicha información incluye conocimiento íntimo sobre los empleados, las estructuras de los equipos, los servicios de asistencia técnica, los flujos de trabajo de respuesta a crisis y las relaciones de la cadena de suministro. Microsoft advirtió que los ejemplos de estas tácticas de ingeniería social incluyen enviar spam a un usuario objetivo con indicaciones de MFA y llamar al servicio de asistencia de la organización para restablecer las credenciales de un objetivo.
Microsoft advirtió que en las organizaciones que utilizan la seguridad MFA, Dev-0537 ha utilizado la repetición del token de sesión y las contraseñas robadas para activar las solicitudes de MFA de aprobación simple, con la esperanza de que el usuario legítimo de la cuenta comprometida finalmente acepte las solicitudes y otorgue la aprobación necesaria.
Usando las credenciales comprometidas y/o los tokens de sesión, Dev-0537 tiene acceso a los sistemas y aplicaciones orientados a Internet. Estos sistemas suelen incluir una red privada virtual (VPN), un protocolo de escritorio remoto (RDP), una infraestructura de escritorio virtual (VDI), incluido Citrix, o proveedores de identidad, incluidos Azure Active Directory y Okta.
La empresa de gestión de identidades Okta es una de las empresas afectadas por el ataque, que se produjo a través de uno de sus subcontratistas, Sitel, propietaria de Sykes, una empresa que proporciona a Okta trabajadores contratados para su organización de atención al cliente.
El 23 de marzo, el director de seguridad de Okta, David Bradbury, se disculpó por la larga demora entre el momento en que se notificó a Sitel sobre la brecha de seguridad y el momento en que completó la investigación del ataque. Él escribió: “Estoy muy decepcionado por el largo período de tiempo que transcurrió entre nuestra notificación a Sitel y la emisión del informe de investigación completo. Pensándolo bien, una vez que recibimos el informe resumido de Sitel, deberíamos habernos movido más rápido para comprender sus implicaciones”.
Según Bradbury, el informe de la firma forense destacó que hubo una ventana de cinco días entre el 16 y el 21 de enero de 2022 cuando el actor de amenazas tuvo acceso al entorno de Sitel. Los ingenieros de soporte tienen acceso de “superusuario” a las herramientas de soporte: Jira, Slack, Splunk, RingCentral y Salesforce y la aplicación de soporte interno.
“Esta es una aplicación creada teniendo en cuenta los privilegios mínimos para garantizar que los ingenieros de soporte reciban solo el acceso específico que necesitan para desempeñar sus funciones”, dijo Bradbury en la publicación del blog. “No pueden crear o eliminar usuarios. No pueden descargar bases de datos de clientes. No pueden acceder a nuestros repositorios de código fuente”.
A mediados de febrero, el mismo grupo de piratería violó la seguridad de Nvidia y robó 1 terabyte de datos, incluidos los nombres de usuario y las contraseñas de más de 71 000 empleados de Nvidia.
A principios de este mes, en una publicación que cubría a los actores cibernéticos patrocinados por el estado que explotan los protocolos MFA predeterminados, el FBI y la Agencia de Seguridad de la Información Cibernética (CISA) recomendaron a las organizaciones que aplicaran MFA para todos los usuarios, sin excepción. Instaron a las organizaciones a revisar las políticas de configuración para protegerse contra escenarios de “apertura fallida” y reinscripción e implementar características de tiempo de espera y bloqueo en respuesta a repetidos intentos fallidos de inicio de sesión.
Además de hacer cumplir contraseñas seguras y monitoreo de seguridad, el FBI y CISA también recomendaron que los jefes de TI se aseguren de que las cuentas inactivas se deshabiliten de manera uniforme en los sistemas Active Directory y MFA.