Microsoft confirme l’attaque de Lapsus$ mais la minimise

Microsoft Confirme L'attaque De Lapsus$ Mais La Minimise

Cette semaine a commencé par des discussions sur un certain nombre de comptes Microsoft DevOps qui avaient été compromis. Plus tard, le groupe de hackers Lapsus$ a revendiqué la responsabilité de cette attaque. Allant même jusqu’à publier une capture d’écran sur Telegram pour étayer sa déclaration et affirmer que ce sont bien eux qui ont fait le coup.

Les mêmes pirates sont à l’origine des attaques d’Ubisoft et de Samsung. Il y a quelques jours, des pirates ont divulgué un torrent contenant le code source de plus de 250 projets, prétendant provenir de Microsoft.

Microsoft parle de Lapsus$ et des informations volées

Maintenant, Microsoft, via un article de blog, a abordé le problème et confirmé que le groupe de pirates connu sous le nom de DEV-0537 était capable de compromettre ses systèmes. Un seul compte a été consulté par les pirates, leur permettant un accès limité. Cependant, l’attaque a été rapidement atténuée par l’équipe de cybersécurité pour éviter d’autres dommages.

Microsoft soutient que les pirates n’ont accédé à aucun code ou donnée client, sur la base des enquêtes qu’ils ont menées. Les slips$ ont profité de leurs compétences en ingénierie sociale pour obtenir les informations dont ils avaient besoin à partir des opérations commerciales qu’ils avaient ciblées. Ces pratiques incluent le spamming d’un utilisateur ciblé avec des invites d’authentification multifacteur (MFA) et même l’appel du service d’assistance de l’organisation pour réinitialiser les informations d’identification de la cible.

Le Microsoft Threat Intelligence Center (MSTIC) évalue que l’objectif de DEV-0537 est d’obtenir un accès élevé grâce à des informations d’identification volées qui permettent le vol de données et des attaques destructrices contre une organisation ciblée, entraînant souvent une extorsion. Les tactiques et les objectifs indiquent qu’il s’agit d’un acteur cybercriminel motivé par le vol et la destruction.

Accès à un seul compte… ce qui heureusement n’a pas été un gros problème

Au cours de l’enquête, Microsoft note que le groupe de piratage a initialement cherché à prendre le contrôle de comptes personnels. Une fois qu’ils y ont eu accès, ils ont utilisé ces comptes pour collecter toutes les informations possibles, ce qui leur a permis d’accéder aux systèmes de l’entreprise. Lapsus$ a également attiré des employés de certaines entreprises. Publier des annonces où ils cherchaient à recruter des personnes disposées à donner ces informations d’identification et, en retour, seraient payées.

D’après les informations obtenues par les experts Microsoft, DEV-0537 dispose d’une infrastructure dédiée. Ils opèrent sur des fournisseurs de serveurs privés virtuels (VPS) bien connus et exploitent NordVPN pour leurs points de sortie. DEV-0537 est conscient des détections telles que les déplacements impossibles et a donc choisi des points de sortie VPN ciblés géographiquement. DEV-0537 a ensuite téléchargé les données sensibles de l’organisation. Leur objectif était une future extorsion ou une diffusion publique sur le système joint au VPN de l’organisation et/ou au système joint à Azure AD.

Cela a servi à protéger les utilisateurs contre ce type d’attaque. Fournir un résumé des pratiques sécuritaires qui contribueront à améliorer votre sécurité. Certaines des pratiques clés incluent le renforcement de la mise en œuvre de la MFA, l’exploitation des options d’authentification modernes pour les VPN et l’amélioration de la sensibilisation aux attaques d’ingénierie sociale, entre autres.