O grupo Lapsus$ está por trás do recente ataque à plataforma de autenticação multifator da Okta, realizado por meio de uma empresa terceirizada que confirmou ter sofrido uma violação de dados em janeiro de 2022.
A confirmação ocorreu apenas depois que o Lapsus$ divulgou imagens com capturas de tela dos aplicativos e sistemas da Okta. Documentos vazados mostram diversas questões em relação à política de segurança da empresa que, em comunicado, afirma que “deveríamos ter agido mais rapidamente para entender suas implicações”.
Os hackers tiveram acesso à rede interna da durante cinco dias, entre 16 e 21 de janeiro de 2022, usando um protocolo de área de trabalho remota (RDP) até que a atividade fosse detectada e a conta utilizada suspensa. A violação da autenticação multifator (MFA) impactou 366 clientes.
Relatório realizado por especialistas da Mandiant divulgou que o Lapsus$ usou a ferramenta Mimikatz para captura de senhas para a violação. Além de conseguirem desativar ferramentas de verificação de segurança que deveriam detectar o ataque.
O grupo também é suspeito de ter atacado os sites do Ministério da Saúde e dos Correios no final de 2021, e também da Localiza em janeiro de 2022.
A violação da Okta é apenas a mais recente realizada pelo Lapsus$, que já causou problemas a diversas outras grandes empresas, inclusive na América Latina - o grupo também é suspeito de ter atacado empresas do setor de telecomunicações no final de 2021.
As motivações não são claras, tanto que realizam pesquisas interativas entre seus seguidores para escolher seus alvos. Por outro lado, um adolescente inglês foi acusado de ser um dos líderes do Lapsus$ . White, ou breachbase, seu apelido no grupo, é autista e vive em Oxford com seus pais, e é suspeito de ter acumulado uma fortuna de US$ 14 milhões (300 bitcoins) provenientes de ataques hackers. Autoridades suspeitam que outro integrante do grupo seja um adolescente que mora no Brasil.
Recentemente, a polícia britânica afirmou ter prendido sete pessoas relacionadas ao Lapsus$, todas entre 16 e 21 anos, sem citar se White estava entre elas. De acordo com matéria na Bloomberg, acredita-se que seus dados foram divulgados por outros integrantes de grupo devido a algum desentendimento interno.
A pressão por adotar a autenticação multifator faz com que muitos provedores de SaaS ofereçam diversas opções de MFA para seus usuários terem uma segunda linha de defesa para evitar ataques que envolvam suas senhas. Isso tem levado à descoberta de algumas falhas no MFA, como as encontradas pela equipe da Varonis Threat Labs para as contas Box, que permitem ao invasor usar credenciais roubadas para comprometer contas e exfiltrar dados.
Isso, obviamente, não significa que a autenticação multifator não seja segura, pelo contrário, ela é uma das melhores formas que os usuários têm de proteger seus dados.
Essa autenticação requer o uso de vários métodos para verificar a identidade de um usuário, por exemplo, combinando duas ou mais credenciais – uma senha e o uso de um token de segurança, como um código enviado por SMS ou e-mail, ou até mesmo técnicas de verificação biométrica.
O objetivo é criar uma nova camada de segurança que torne a tarefa de acessar os dados de um possível alvo mais difícil. Em um ataque de força bruta, em que cibercriminosos usam ferramentas automatizadas para adivinhar combinações de usuários e senhas, no caso da quebra dessa senha, o MFA atua para dificultar que a conta seja invadida.
Apesar dos benefícios, o MFA também tem fatores que contam negativamente para seu uso, como o compartilhamento de senhas pessoais e tokens de identificação. Além disso, as técnicas utilizadas para a autenticação multifator precisam ser constantemente atualizadas para evitar que cibercriminosos encontrem meios de burlá-las, sem que a experiência do usuário seja prejudicada.
Dados divulgados pelo Google mostram que adicionar um número de telefone de recuperação à conta do serviço, por exemplo, foi capaz de bloquear até 100% dos bots automatizados, 99% dos ataques de phishing em massa. Entretanto, apenas 66% dos ataques direcionados foram evitados.
Ou seja, apenas o MFA pode não ser suficiente para evitar uma possível violação de dados. Assim, é essencial manter os usuários atualizados sobre estratégias de ataque mais utilizadas, como o vishing, que é o phishing por meio de ligações telefônicas, usar uma abordagem de Zero Trust e considerar o uso de autenticação multifatorial biométrica ou baseada em comportamento.
Sua empresa precisa estar preparada para enfrentar os diversos riscos de segurança de dados, e a Varonis pode te ajudar nessa jornada. Entre em contato e solicite uma demonstração gratuita.