Microsoft dan Okta Konfirmasi Aksi Peretasan LAPSUS$

Microsoft mengumumkan pada hari Selasa bahwa kelompok peretasan yang berfokus pada pemerasan LAPSUS$ telah mendapatkan "akses terbatas" ke sistemnya, sementara penyedia layanan otentikasi Okta melaporkan bahwa sekitar 2,5 persen kliennya mungkin telah terpengaruh oleh insiden tersebut.

"Tidak ada kode atau data pelanggan yang terlibat dalam operasi yang diamati," Microsoft's Threat Intelligence Center (MSTIC) menyatakan, menambahkan bahwa pelanggaran itu diaktifkan oleh satu akun yang disusupi, yang kemudian telah diperbaiki untuk mencegah aktivitas jahat di masa depan.

Sebelum pengumuman publik, Microsoft telah mengawasi grup dengan nama kode DEV-0537 dan menyatakan bahwa "tidak bergantung pada kerahasiaan kode sebagai mekanisme keamanan, dan membaca kode sumber tidak mengarah pada peningkatan risiko."

"Pengungkapan publik ini meningkatkan aktivitas kami, memungkinkan tim kami untuk terlibat dan mengganggu aktor di tengah operasi, meminimalkan bahaya yang lebih luas," tim keamanan perusahaan menjelaskan.

Okta, yang juga mengungkapkan pelanggaran tersebut melalui akun teknisi dukungan pelanggan yang bekerja untuk pemasok pihak ketiga, menyatakan bahwa penyerang memperoleh akses ke laptop pekerja antara 16 dan 21 Januari, tetapi layanan itu sendiri tidak terpengaruh.

Perusahaan perangkat lunak cloud yang berbasis di San Francisco juga menyatakan bahwa mereka telah mengidentifikasi klien yang terkena dampak dan menangani mereka secara individual, menekankan bahwa "layanan Okta berfungsi penuh, dan pelanggan kami tidak perlu mengambil langkah perbaikan apa pun."

"Dalam kasus peretasan Okta, hanya mengubah kata sandi pengguna tidak akan cukup," Cloudflare memperingatkan dalam pemeriksaan post-mortem dari acara tersebut. "Penyerang juga perlu memodifikasi token perangkat keras (FIDO) yang disiapkan untuk pengguna yang sama. Akibatnya, akun yang diretas akan mudah diidentifikasi berdasarkan kunci perangkat keras terkait."

Namun, fakta bahwa Okta menunda untuk mengungkapkan pelanggaran secara resmi selama dua bulan menjadi perhatian khusus, menyebabkan geng penjahat cyber bertanya-tanya dalam pernyataan balasannya, "Mengapa menunggu selama ini?"

Dalam jawaban mereka, LAPSUS$ juga menuduh Okta menyimpan kunci Amazon Web Services (AWS) di dalam Slack dan bahwa teknisi dukungan tampaknya memiliki "akses berlebihan" ke platform pengiriman pesan. "Potensi kerugian bagi pelanggan Okta TIDAK terbatas; Saya sangat yakin menyetel ulang kata sandi dan MFA akan menghasilkan penetrasi total ke banyak sistem klien," tambah grup tersebut.

Microsoft Mengungkapkan Taktik LAPSUS$

LAPSUS$, yang pertama kali muncul pada Juli 2021, telah mengamuk dalam beberapa bulan terakhir, menyerang banyak organisasi, termasuk Impresa, Kementerian Kesehatan Brasil, Claro, Embratel, NVIDIA, Samsung, Mercado Libre, Vodafone, dan yang terbaru Ubisoft.

Strategi kelompok yang didorong secara finansial sangat sederhana: menerobos jaringan target, mengambil data sensitif, dan memeras perusahaan korban agar membayar dengan menyiarkan potongan-potongan materi curian di saluran Telegram mereka.

LAPSUS$ didefinisikan oleh Microsoft sebagai organisasi yang menggunakan "metodologi pemerasan dan penghancuran murni tanpa mendistribusikan muatan ransomware" dan "tampaknya tidak menutupi jejaknya."

Taktik lain yang digunakan oleh kru termasuk skema rekayasa sosial berbasis telepon seperti pertukaran SIM untuk memfasilitasi pengambilalihan akun, mengakses akun email pribadi karyawan di organisasi target, menyuap karyawan, pemasok, atau mitra bisnis perusahaan untuk akses, dan mengganggu aktivitas yang sedang berlangsung. panggilan tanggap krisis untuk memulai tuntutan pemerasan.

LAPSUS$ juga terlihat menggunakan RedLine Stealer, yang tersedia untuk dibeli di forum bawah tanah, untuk mendapatkan kata sandi dan token sesi, serta membeli kredensial dan token akses dari pasar web gelap dan mencari repositori kode publik untuk kredensial yang terbuka, untuk mendapatkan pijakan awal.

"Tujuan dari pelaku DEV-0537 adalah untuk mencapai akses tinggi melalui kredensial curian yang memungkinkan pencurian data dan serangan merusak terhadap perusahaan yang ditargetkan, biasanya berpuncak pada pemerasan," menurut perusahaan tersebut. "Ini adalah pelaku kejahatan dunia maya yang didorong oleh pencurian dan perusakan, berdasarkan taktik dan tujuan."

Setelah akses awal, grup tersebut diketahui menyerang kerentanan yang belum ditambal di server Confluence, JIRA, dan GitLab yang dapat diakses secara internal untuk eskalasi hak istimewa sebelum mengekstrak data penting dan menghapus sistem dan sumber daya target.

Microsoft merekomendasikan agar organisasi mengamanatkan autentikasi multi-faktor (tetapi tidak berbasis SMS), menggunakan opsi autentikasi modern seperti OAuth atau SAML, meninjau masuk individu untuk tanda-tanda aktivitas anomali, dan memantau komunikasi respons insiden untuk peserta yang tidak berwenang untuk mengurangi insiden tersebut .

"Berdasarkan aktivitas yang diamati, grup ini memahami sifat yang saling berhubungan dari identitas dan hubungan kepercayaan dalam ekosistem teknologi modern dan menargetkan telekomunikasi, teknologi, layanan teknologi informasi, dan perusahaan pendukung - untuk memanfaatkan akses mereka dari satu organisasi untuk mengakses organisasi mitra atau pemasok. "

Di tengah imbas dari bocoran tersebut, LAPSUS$ tampak sedang healing. "Beberapa anggota kami memiliki [sic] liburan hingga 30/3/2022. Kami mungkin akan diam untuk beberapa waktu [sic]," kata grup itu di saluran Telegramnya.