Na początku tego tygodnia dowiedzieliśmy się, że Microsoft został zhakowany przez tę samą grupę, która stoi za niedawnymi cyberatakami na Nvidię i Samsunga, które spowodowały znaczne wycieki. Microsoft potwierdził włamanie i wszczął dochodzenie w sprawie grupy znanej jako LAPSUS$.
Jak wcześniej potwierdzono, grupa była w stanie uzyskać kod źródłowy Bing, Bing Maps i Cortana. Jednak w czasie włamania nie było dostępu ani do kodu klienta, ani do danych. Podczas gdy Microsoft musi pogodzić się z przeciekami, firma otrzymała znaczną ilość informacji o grupie stojącej za atakiem i będzie nadal monitorować swoje działania.
„Zespoły Microsoft Security aktywnie monitorują szeroko zakrojoną kampanię socjotechniczną i wymuszenia przeciwko wielu organizacjom, znajdując oznaki elementów zakłócających. Ponieważ kampania ta nabrała tempa, nasze zespoły skoncentrowały się na wykrywaniu, powiadamianiu klientów, odprawach dotyczących analizy zagrożeń i udostępnianiu informacji naszym partnerom z branży, aby zrozumieć taktykę i cele atakującego”.
Podczas tego procesu firma Microsoft „ulepszyła” swoją zdolność śledzenia grupy i pomagania klientom w obronie przed aktywnymi włamaniami. W niektórych przypadkach Microsoft twierdzi, że współpracował z organizacjami w celu powstrzymania ataków przed kradzieżą danych.
Microsoft określa grupę jako „DEV-0537” i po pewnym dochodzeniu odkryli, że grupa często używa modelu oprogramowania ransomware i zabijania bez wdrażania ładunków ransomware. Microsoft twierdzi również, że grupa „nie ma śladu” i często stosuje taktyki socjotechniczne, aby uzyskać dostęp do kont.
Pełny wpis na blogu szczegółowo opisuje metody stosowane przez tę grupę, inne ataki, które przeprowadziła, oraz sposoby, w jakie organizacje mogą się chronić.
Dodaj komentarz