Hackers pertencentes ao grupo de cibercriminosos LAPSUS$ publicaram capturas de tela, supostamente tiradas de dentro dos sistemas de informação da Okta. Se as alegações forem verdadeiras, eles têm acesso não apenas ao site da empresa, mas também a vários outros sistemas internos, incluindo alguns bastante críticos.
O LAPSUS$ alega que não roubou nenhum dado da própria empresa e que seus alvos eram principalmente os clientes da Okta. A julgar pelas datas dos prinsts das telas, os invasores tiveram acesso aos sistemas já em janeiro de 2022.
O que é Okta e por que a invasão pode ser tão perigosa?
A Okta desenvolve e mantém sistemas de gerenciamento de identidade e acesso. Em particular, eles fornecem uma solução de logon única. Inúmeras grandes empresas empregam as soluções da Okta.
Os especialistas da Kaspersky Lab acreditam que o acesso dos hackers aos sistemas da Okta pode explicar vários vazamentos de dados de alto perfil de grandes empresas, pelos quais hackers do LAPSUS$ já reivindicaram responsabilidade.
Como os cibercriminosos obtêm acesso aos sistemas da Okta?
No momento, não há evidências conclusivas de que os hackers realmente obtiveram acesso a dados. De acordo com o comunicado oficial da Okta, seus especialistas estão conduzindo uma investigação e a empresa promete compartilhar detalhes assim que a investigação for concluída. É possível que as capturas de tela publicadas estejam relacionadas ao incidente de janeiro, quando um agente desconhecido tentou comprometer a conta de um engenheiro de suporte técnico que trabalhava para um subcontratado terceirizado.
Em 23 de março de 2022, o LAPSUS$ publicou sua resposta à declaração oficial de Okta, na qual acusa a empresa de tentar minimizar o impacto da violação.
Quem é o grupo LAPSUS$ e o que sabemos sobre eles?
O LAPSUS$ ganhou fama em 2020 ao comprometer os sistemas do Ministério da Saúde brasileiro. Presumivelmente, trata-se de um grupo de hackers latino-americanos que rouba informações de grandes empresas em troca de resgate. Se as vítimas se recusarem a pagar, os hackers publicam as informações roubadas na Internet. Ao contrário de muitos outros grupos de ransomware, o LAPSUS$ não criptografa os dados de organizações hackeadas, mas simplesmente ameaça vazar os dados em caso de não pagamento do resgate.
Vítimas notáveis do LAPSUS$ incluem Nvidia, Samsung e Ubisoft. Além disso, eles publicaram recentemente 37 GB de código que se acredita estar relacionado a projetos internos da Microsoft.
Como ficar seguro?
No momento é impossível dizer com absoluta certeza se o incidente realmente aconteceu. A publicação de screenshots em si é um movimento bastante estranho que pode ter como objetivo a autopromoção dos hackers, um ataque à reputação da Okta ou uma tentativa de esconder o método real pelo qual LAPSUS$ obteve acesso a um dos clientes da Okta.
Dito isso, para garantir a segurança, nossos especialistas recomendam aos clientes da Okta que empreguem as seguintes medidas de proteção:
- Aplique um monitoramento especialmente rigoroso da atividade da rede e, em particular, de qualquer atividade relacionada à autenticação em sistemas internos;
- Forneça aos funcionários um treinamento adicional de higiene de segurança cibernética e prepare-os para estar alerta e relatar qualquer atividade suspeita;
- Realize uma auditoria de segurança da infraestrutura de TI da sua organização para revelar falhas e sistemas vulneráveis;
- Restrinja o acesso a ferramentas de gerenciamento remoto de endereços IP externos;
- Garanta que as interfaces de controle remoto só possam ser acessadas a partir de um número limitado de terminais;
- Siga o princípio de oferecer privilégios limitados aos funcionários e conceder contas de alto privilégio apenas para aqueles que precisam disso para cumprir seu trabalho;
- Use soluções de monitoramento, análise e detecção de tráfego de rede ICS para melhor proteção contra ataques potencialmente ameaçadores ao processo tecnológico e aos principais ativos da empresa.
As empresas que não têm recursos internos para monitorar atividades suspeitas em sua infraestrutura de TI podem empregar os especialistas externos.