Microsoft et le fournisseur de services d’authentification Okta ont déclaré qu’ils enquêtaient sur les allégations d’une violation potentielle alléguée par le gang d’extorqueurs LAPSUS$.

Le développement, qui a été signalé pour la première fois par Vice et Reuters, intervient après que le groupe cybercriminel a publié des captures d’écran et le code source de ce qu’il a qualifié de projets et de systèmes internes des entreprises sur sa chaîne Telegram.

L’archive de 37 Go divulguée montre que le groupe a peut-être accédé aux référentiels liés à Bing, Bing Maps et Cortana de Microsoft, les images mettant en évidence la suite Atlassian d’Okta et les canaux Slack internes.

« Pour un service qui alimente les systèmes d’authentification de nombreuses grandes entreprises (et approuvé par FEDRAMP), je pense que ces mesures de sécurité sont assez médiocres », a écrit le cartel de piratage sur Telegram.

En plus de cela, le groupe a affirmé avoir violé LG Electronics (LGE) pour la « deuxième fois » en un an.

Bill Demirkapi, un chercheur indépendant en sécurité, a noté que « LAPSUS$ semble avoir eu accès au locataire Cloudflare avec la possibilité de réinitialiser les mots de passe des employés », ajoutant que la société « n’a pas reconnu publiquement toute violation pendant au moins deux mois ».

LAPSUS$ a depuis précisé qu’il n’avait pas violé les bases de données d’Okta et que « nous nous concentrions UNIQUEMENT sur les clients d’Okta ». Cela pourrait avoir de graves conséquences pour d’autres agences gouvernementales et entreprises qui s’appuient sur Okta pour authentifier l’accès des utilisateurs aux systèmes internes.

« Fin janvier 2022, Okta a détecté une tentative de compromission du compte d’un ingénieur de support client tiers travaillant pour l’un de nos sous-traitants. L’affaire a fait l’objet d’une enquête et a été maîtrisée par le sous-traitant », a déclaré le PDG d’Okta, Todd McKinnon, dans un tweet.

« Nous pensons que les captures d’écran partagées en ligne sont liées à cet événement de janvier. Sur la base de notre enquête à ce jour, il n’y a aucune preuve d’activité malveillante en cours au-delà de l’activité détectée en janvier », a ajouté McKinnon.

Cloudflare, en réponse, a déclaré qu’il réinitialisait les informations d’identification Okta des employés qui ont changé leurs mots de passe au cours des quatre derniers mois, par prudence.

Contrairement aux groupes de rançongiciels traditionnels qui suivent le double scénario d’extorsion consistant à voler les données d’une victime puis à chiffrer ces informations en échange d’un paiement, le nouvel entrant dans le paysage des menaces se concentre davantage sur le vol de données et l’utilise pour faire chanter les cibles.

Dans les mois qui ont suivi son entrée en activité fin décembre 2021, le gang de la cybercriminalité a accumulé une longue liste de victimes de haut niveau, notamment Impresa, NVIDIA, Samsung, Mercado Libre, Vodafone et, plus récemment, Ubisoft.

« Toute attaque réussie contre un fournisseur de services ou un développeur de logiciels peut avoir un impact supplémentaire au-delà de la portée de cette attaque initiale », a déclaré Mike DeNapoli, architecte principal de la sécurité de Cymulate, dans un communiqué. « Les utilisateurs des services et des plateformes doivent être alertés du fait qu’il existe d’éventuelles attaques de la chaîne d’approvisionnement contre lesquelles il faudra se défendre. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *