A Microsoft anunciou ontem que, depois de uma investigação interna, o grupo com a designação ‘DEV-0537’, nome dado pela Microsoft ao Lapsus$, conseguiu comprometer uma única conta de utilizador e roubou partes do código fonte de alguns dos seus produtos. Num artigo publicado no blogue de segurança da Microsoft, a empresa diz que, há semanas que monitoriza as actividades do grupo Lapsus$ e descreve alguns dos métodos que são usados para entrar nos sistemas informáticos das suas vítimas.
De acordo com o Microsoft Threat Intelligence Center (MSTIC), o objectivo dos elementos do DEV-0537 é obter acesso privilegiado aos sistemas através de credenciais roubadas, o que depois permite o roubo e destruição de dados. Em certos casos, podem ser pedidos resgates.
O grupo Lapsus$ tem aparecido muito nas notícias nos últimos meses depois de ter acedido a dados da Okta, Samsung, Ubisoft, Nvidia, Impresa, Vodafone e agora da Microsoft. Embora algumas empresas, como a Samsung e a Nvidia, tenham admitido o roubo de dados, a Okta negou que o grupo tenha conseguido aceder aos serviços de autenticação.
Esta não é a primeira vez que a Microsoft assume que atacantes tenham conseguido aceder ao seu código fonte, já o tinha admitido aquando do ataque Solarwinds. O Lapsus$ diz que conseguiu obter 45% do código do motor de busca Bing e Cortana e cerca de 90% do código fonte do Bing Maps. Este último, tem aparentemente um valor menor que os primeiros, mas a Microsoft receia que o código roubado pode vir a revelar vulnerabilidades que possam ser exploradas.
No artigo, a Microsoft mostra as coisas que as organizações podem fazer para melhorarem a sua segurança informática, incluindo a utilização de sistemas de autenticação de dois passos, não utilizar sistema de dupla autenticação fracos como os que usam emails secundários ou mensagens SMS, educar as equipas para conseguirem identificar ataques baseados em engenharia social e a criação de processos de mitigação de ataques, como os levados a cabo pelo grupo Lapsus$.
