Microsoft ha confirmado que uno de sus empleados se vio comprometido por el grupo de piratería Lapsus$, lo que ha permitido al grupo de hackers acceder y robar partes de su código fuente.

La pasada noche, el grupo de hackers «Lapsus$» liberó 37 GB de código fuente robado del servidor Azure DevOps de Microsoft. En el código fuente robado se encuentran varios proyectos internos de Microsoft, incluidos el buscador Bing, el asistente de Windows Cortana y los mapas de Bing Maps.

En una nueva publicación del blog de Microsoft, se ha confirmado que Lapsus$ vulneró la cuenta de uno de sus empleados, proporcionando acceso limitado a los repositorios de código fuente.

«Ningún dato o códigos de nuestros clientes estuvieron involucrados en las actividades observadas. Nuestra investigación ha encontrado que una sola cuenta se ha visto comprometida otorgando acceso limitado a nuestros datos internos. Los equipos de respuesta de seguridad cibernética se activaron rápidamente para remediar la cuenta comprometida y evitar más actividad».

Comunicado público de Microsoft

Desde Microsoft explican que, su equipo de seguridad ya estaba investigando la cuenta comprometida del empleado, cuando el grupo de hackers Lapsus$ hizo pública su intrusión. A partir de la comunicación del hackeo al público, Microsoft intensificó su actividad para bloquear el ataque, limitando así la cantidad de datos que pudieron robarse.

Desde Microsoft no han compartido cómo ha llegado a comprometerse la cuenta de su empleado, pero han asegurado que conocen las técnicas y procedimientos que ha usado el grupo Lapsus$ contra ellos.

Todo empieza con el robo de credenciales

Según Microsoft, el grupo Lapsus$ centra sus esfuerzos iniciales en robar credenciales de acceso a las redes corporativas de las empresas. Principalmente las credenciales las consiguen:

  • Implementando el malware stealer «RedLine» para la obtención de contraseñas y tokens de sesión.
  • Comprando credenciales y tokens de sesión en foros clandestinos criminales en la Dark Web.
  • Pagando directamente a los empleados de las empresas (o proveedores y socios comerciales) por el acceso a las credenciales y la aprobación de la autenticación multi-factor (MFA).
  • Buscando credenciales ya vulneradas y expuestas en repositorios de códigos públicos.

El malware RedLine es un troyano tipo Stealer, y su principal función es adquirir datos de credenciales de diferentes servicios y protocolos. Redline se ha convertido en el malware más demandado para el robo de credenciales y se propaga generalmente a través de correos electrónicos tipo «phishing», portales de descarga de programas pirateados y… ¡sorpresa! videos de YouTube.

Te puede interesar:  DNIe 4.0: Una tarjeta con microchip y aplicación para smartphones

Una vez que Laspsus$ obtiene acceso a las credenciales comprometidas, las utilizan para iniciar sesión en los dispositivos y sistemas internos de la víctima, incluidas las redes privadas virtuales (VPN), la infraestructura de escritorio virtual (RDP) o los servicios de administración de identidades.

Según Microsoft, Lapsus$ realiza ataques de repetición de inicio de sesión para cuentas que utilizan la función MultiFactor (MFA), o envían continuamente notificaciones de MFA hasta que el usuario se cansa de ellas y confirma que se le debe permitir iniciar sesión.

Curiosamente y solo en una ocasión, Lapsus$ tuvo que hacer un ataque de intercambio de SIM en un dispositivo móvil para obtener el control de los números de teléfono y los mensajes de texto del usuario, para poder obtener acceso a los códigos MFA necesarios para iniciar sesión en una cuenta.

Una vez que los hackers tienen acceso a la red corporativa, buscan cuentas con privilegios más altos para luego apuntar sus ataques a plataformas de desarrollo y colaboración como SharePoint, Slack y Microsoft Teams, donde se siguen robando nuevas credenciales. Del mismo modo, se utilizan estas credenciales robadas para acabar accediendo a los repositorios de código fuente en GitLab, GitHub y Azure DevOps.

Cuando el grupo de hackers consigue los suficientes permisos, empieza la recolección de datos valiosos y su descarga a través de las conexiones de NordVPN para evitar el rastreo de sus ubicaciones.

Cómo protegerse de ataques de este tipo

Microsoft ha lanzado unas recomendaciones para entidades corporativas y animan a todas las empresas a realizar los siguientes pasos para protegerse contra grupo de hackers como Lapsus$:

  • Fortalecer la implementación del inicio de sesión multi-factor (MFA).
  • Requerir terminales saludables y confiables.
  • Implementar opciones de autenticación para conexiones a través de Redes Virtuales Privadas (VPN).
  • Fortalecer las reglas de seguridad en la nube.
  • Fomentar el conocimiento y la propia naturaleza de los ataques de ingeniería social.
Te puede interesar:  5 fallos que suelen cometer la PYMES


El grupo Lapsus$ no solo ha atacado a Microsoft, recientemente han llevado a cabo numerosos ataques contra grandes empresas como NVIDIA, Samsung, Vodafone, Ubisoft y Mercado Libre.

Por lo tanto, han recomendado que los administradores de seguridad y de red estén constantemente actualizados a nivel de este tipo de ataques.

vía: bleepingcomputer