Microsoft ha confermato il furto del codice sorgente di alcuni prodotti attraverso un account compromesso. L’azienda di Redmond non considera tuttavia l’accaduto particolarmente grave. Il post pubblicato sul blog dedicato alla sicurezza illustra le tecniche utilizzate dal gruppo Lapsus$ e suggerisce le possibili precauzioni.
Lapsus$: furto ed estorsione
Nelle ultime settimane sono stati confermati diversi accessi non autorizzati ai server di note aziende, tra cui NVIDIA, Samsung, Ubisoft, Vodafone e appunto Microsoft. Gli autori degli attacchi sono i cybercriminali sudamericani del gruppo Lapsus$, specializzato in furto di dati ed estorsione. Le loro imprese vengono pubblicizzate soprattutto attraverso un canale Telegram.
Dopo aver raccolto varie informazioni sull’azienda scelta come bersaglio, i cybercriminali riescono ad accedere alle rete interna sfruttando diversi metodi, tra cui la distribuzione di Redline (password stealer), l’acquisto di credenziali nel dark web e il pagamento dei dipendenti che avranno il ruolo di insider.
Successivamente cercano di scoprire le credenziali con privilegi più elevati, sfruttando vulnerabilità note, software specifici o tecniche di ingegneria sociale. Effettuano quindi il download dei dati dai server per future estorsioni. I cybercriminali utilizzano NordVPN per nascondere la loro posizione geografica.
Uno dei recenti attacchi ha colpito anche Microsoft. L’azienda di Redmond ha confermato il furto di porzioni del codice sorgente attraverso un singolo account compromesso. Non sono stati rubati i dati dei clienti. Il team di sicurezza ha subito chiuso l’accesso e messo in atto le misure preventive.
Microsoft suggerisce di utilizzare l’autenticazione multifattore robusta, ovvero quella basata su token hardware o Microsoft Authenticator. Assolutamente da evitare l’invio dei codici tramite SMS, in quanto è piuttosto semplice intercettarli tramite attacchi di SIM swapping.