Monitor Más Monitor


Microsoft y Okta, posibles nuevas víctimas de Lapsus$

Microsoft y Okta, posibles nuevas víctimas de Lapsus$
Microsoft no ha confirmado el ataque

Publicación:23-03-2022
++--

El grupo de hackers Lapsus$ sigue añadiendo víctimas de renombre a su lista de empresas y entidades atacadas.

Las últimas pueden haber sido la plataforma de autenticación Okta, y nada menos que Microsoft. Al parecer, según Betanews, miembros de Lapsus$ habrían conseguido acceder a los repositorios de código fuente de Azure DevOps de Microsoft, y robar datos de la compañía. Este grupo de atacantes seguiría por tanto con su modus operandi habitual, que pasa por atacar los repositorios de código fuente de grandes tecnológicas en vez de utilizar el ransomware como hacen otros para conseguir dinero mediante el secuestro de archivos y sistemas.

En efecto, en Lapsus$ prefieren robar datos de las empresas de sus repositorios para después pedir rescate por ellos a las empresas a las que pertenecen. Habitualmente piden varios millones de dólares por devolvérselos. No está todavía claro si han tenido éxito y han cobrado algún rescate, pero Lapsus$ sin duda se ha labrado una reputación como atacantes a temer después de haber conseguido atacar a compañías de la talla de Nvidia, Samsung, Vodafone o Ubisoft.

Por ahora, Microsoft no ha confirmado el ataque, y está investigando si realmente tienen el código fuente que dicen haber conseguido. Pero no parece haber mucho lugar para la duda, puesto que el grupo anunció hace poco que habían hackeado un servidor de DevOps de Microsoft Azure, aportando como prueba una captura de pantalla de los repositorios de código fuente interno de la compañía a través de Telegram.

En ella aparece una imagen de un repositorio de Azure DevOps con el código fuente de Cortana y de varios proyectos de Bing. El grupo retiró pronto la captura, pero la había dejado el tiempo suficiente para que varios investigadores de seguridad la guardasen y compartiesen.

En cuanto al ataque que habrían hecho a la plataforma de autenticación Okta, utilizada por miles de organizaciones y empresas de todo el mundo, se ha conocido a raíz de que el grupo publicase unas capturas de pantalla de sus sistemas internos, incluida según Reuters una en la que parece que están los canales de Slack de la compañía, y en otra una interfaz de Cloudflare.

Si Okta confirma que efectivamente ha sido atacada, miles de empresas podrían estar en peligro, puesto que tienen 15.000 clientes, que utilizan sus servicios para permitir la identificación y acceso a sus sistemas internos tanto compañías de todos los sectores y tamaños hasta universidades y entidades oficiales y gubernamentales.

La situación podría ser bastante problemática, sobre todo porque desde Lapsus$ aseguran que han tenido acceso de superusuario y administrador a los sistemas de Okta desde hace dos meses, y han asegurado que se centraban únicamente en los clientes de la compañía, entre los que están Sonos, T-Mobile, o la FCC estadounidense.

Eso si, la empresa asegura que todavía no tiene pruebas de haber sufrido un ataque sostenido en el tiempo. Habrá por tanto que esperar a que Okta efectúe una investigación más a fondo para comprobar si ha resultado afectada, y hasta qué punto.



« Especial »