Lapsus$, el mismo grupo de cibercriminales que atacó los servidores de Nvidia, Samsung y Mercado Libre, ha hackeado ahora a Microsoft.
El grupo Lapsus$ anunció el domingo que había hackeado el servidor Azure DevOps de Microsoft. El lunes, el grupo compartió a través de Telegram un archivo de Torrent que contendría 37 GB de código fuente de más de 250 proyectos de Microsoft. Lapsus$ dice haber filtrado el 90% del código fuente del buscador Bing y el 45% del código fuente de Bing Maps y de Cortana.
Microsoft confirmó el martes que la cuenta de uno de sus empleados se vio comprometida por un actor malicioso. En su investigación, Microsoft ha denominado a este actor “DEV-0537”. Más conocido como Lapsus$, el grupo tuvo acceso a ciertos repositorios de código cerrado de la compañía.
Los datos de usuarios y clientes están a salvo, aclaró Microsoft, ya que el acceso que obtuvieron los hackers fue “limitado”.
“Microsoft no confía en el secreto del código como medida de seguridad, y ver el código fuente no conduce a una elevación del riesgo”, escribió el Centro de inteligencia de amenazas de la compañía. “Nuestro equipo ya estaba investigando la cuenta comprometida cuando el actor reveló públicamente su intrusión. Esta divulgación pública intensificó nuestra acción, lo que permitió a nuestro equipo intervenir e interrumpir al actor en medio de la operación”.
Lapsus$ empezó a operar a finales del año pasado. Primero contra el Ministerio de Salud de Brasil y después contra empresas portuguesas y latinoamericanas como Impresa, Claro y Embratel. Además de los gigantes Microsoft, Nvidia y Samsung, el grupo también ha atacado a Mercado Libre, Vodafone, Ubisoft y Okta.
Según Microsoft, Lapsus$ se especializa en obtener credenciales de empleados para acceder a las redes corporativas de sus objetivos, así como a sus repositorios de código fuente en GitLab, GitHub y Azure DevOps. El grupo confía en el malware Redline para robar contraseñas y tokens de sesión, pero también puede comprar las credenciales en foros clandestinos o pagar a los empleados de las compañías por el acceso.
La autenticación de múltiples factores no parece ser un impedimento para Lapsus$. Según Microsoft, el grupo usa ataques de repetición de sesión o envía continuamente notificaciones de verificación para que el usuario se canse de ellas y confirme que permite el inicio de sesión. En al menos un caso, el grupo habría realizado un intercambio de SIM para obtener el control del número de teléfono al que llega el mensaje de texto con el código de verificación.