Microsoft ha reconocido que el grupo de ciberdelincuentes autodenominado Lapsus$, uno de los más peligrosos que permanece activo los últimos meses, ha conseguido acceder a sus sistemas tras un ciberataque. No obstante, asegura que la infiltración ha sido “limitada” y que la banda no ha conseguido “código ni datos de clientes”.
Lapsus$ había presumido a inicios de esta semana haber hackeado a la multinacional. Publicó como prueba un archivo de 37 gigas con fragmentos del código fuente de Bing y Cortana, el buscador y el asistente virtual de Microsoft. Desde la compañía alegan que Lapsus$ ha comprometido “una sola cuenta”: “Nuestro equipo ya estaba investigando la cuenta comprometida basándose en información de inteligencia cuando el grupo reveló públicamente su intrusión. Esta revelación pública intensificó nuestra acción permitiendo a nuestro equipo intervenir e interrumpir al actor a mitad de la operación, limitando un impacto más amplio”, asegura en un comunicado.
Desde finales de 2021 Lapsus$ ha sido una de las principales ciberamenazas para organizaciones de todo el mundo. Se ha especializado en atacar empresas de tecnología, siendo Nvidia o Samsung algunos de sus últimos objetivos. No obstante, el rastro de su actividad se extiende a través de ofensivas contra administraciones públicas, compañías de telecomunicaciones, medios de comunicación, comercio minorista y salud. También ha asaltado las cuentas de criptomonedas de algunos usuarios para hacerse con su contenido.
El grupo es uno de los que dejó su huella en la grave cadena de ciberataques que sufrió Portugal a principios de este año. Microsoft lo denomina “DEV-0537” y ha rastreado sus actividades en los últimos meses. “Comenzaron atacando organizaciones en el Reino Unido y Sudamérica, pero se expandió a objetivos globales”, avisan.
“A diferencia de la mayoría de los grupos que permanecen bajo el radar, DEV-0537 no parece cubrir sus huellas. Llegan a anunciar sus ataques en las redes sociales o a anunciar su intención de comprar credenciales a los empleados de las organizaciones objetivo”, explica la multinacional. “Sus tácticas incluyen la ingeniería social basada en el teléfono; el intercambio de SIM para facilitar la toma de posesión de cuentas; el acceso a las cuentas de correo electrónico personal de los empleados de las organizaciones objetivo; el pago a los empleados, proveedores o socios comerciales de las organizaciones objetivo para acceder a credenciales y aprobar la autenticación de múltiples factores (MFA); y la intromisión en las llamadas de comunicación de crisis en curso de sus objetivos”, resume Microsoft.
Tecnológicas como puerta de entrada
Uno de los motivos por los que Lapsus$ concentra sus ataques a multinacionales tecnológicas es para saltar de sus sistemas a los de sus clientes por la vía rápida. De hecho, algunos especialistas han alertado de que el vector de sus últimos ciberataques ha podido ser Okta, una empresa especializa en sistemas de autentificación que trabaja para Microsoft, Nvidia y Samsung. “Somos conscientes de que Okta puede haber sido comprometida”, ha declarado Matthew Prince, CEO de Cloudflare, una de las principales empresas de gestión de dominios del mundo y que tiene a Okta como proveedor.
Okta ha reconocido que una parte de sus clientes se ha visto comprometido por el ciberataque. “Tras un análisis exhaustivo, hemos llegado a la conclusión de que un pequeño porcentaje de clientes —aproximadamente el 2,5%— se ha visto potencialmente afectado y cuyos datos pueden haber sido vistos o manipulados”, ha afirmado su jefe de seguridad en un comunicado, adelantando que la empresa se ha puesto en contacto con los potenciales afectados.
Tanto Okta como Microsoft explican que seguirán informando del alcance del ciberataque a medida que descubran más datos. Desde la multinacional fundada por Bill Gates piden a las empresas que endurezcan sus medidas de seguridad, habilitando la identificación a través de múltiples factores (evitando que uno de ellos sea el SMS, el más vulnerable) para los usuarios del sistema. Recomiendan no desactivar este método de seguridad ni en “entornos que se perciben como seguros” como las propias instalaciones de la empresa, ya que los ciberdelincuentes podrían entonces fijar como objetivo a los trabajadores que tengan acceso a esas áreas con protección relajada