Los ciberdelincuentes del grupo LAPSUS$ han publicado capturas de pantallas, supuestamente tomadas desde los sistemas de información de Okta. Si estas afirmaciones son ciertas, habrían tenido acceso no solo al sitio web de la compañía, sino también a varios sistemas internos, incluidos algunos muy críticos.
LAPSUS$ afirma que no ha robado datos de la compañía y que sus objetivos eran principalmente los clientes de Okta. A juzgar por las fechas de las capturas de pantalla, los atacantes habrían podido acceder a estos sistemas desde enero del 2022.
¿Qué es Okta y por qué podría ser esta filtración tan peligrosa?
Okta desarrolla y se encarga del mantenimiento de sistemas de gestión de acceso e identidad. En concreto, ofrece una solución de inicio de sesión único, por lo que muchas grandes empresas utilizan las soluciones de Okta.
Los expertos de Kaspersky creen que el acceso de los ciberdelincuentes a los sistemas de Okta podría explicar una serie de filtraciones de datos de alto perfil que han tenido lugar en grandes empresas, de las cuales los ciberdelincuentes de LAPSUS$ se han atribuido la responsabilidad.
¿Cómo consiguen los ciberdelincuentes el acceso a los sistemas de Okta?
De momento no hay ninguna prueba concluyente de que los ciberdelincuentes hayan conseguido acceder realmente al sistema de la compañía. De acuerdo con el comunicado oficial de Okta, sus especialistas están llevando a cabo una investigación y la empresa ya ha prometido compartir toda la información tan pronto como esta haya finalizado. Es probable que las capturas de pantalla publicadas estén relacionadas con el incidente de enero, en el que un actor desconocido intentó comprometer la cuenta de un ingeniero del equipo de asistencia técnica que trabajaba para un subcontratista externo.
El 23 de marzo del 2022, LAPSUS$ publicó su respuesta al comunicado oficial de Okta en el que acusan a la empresa de intentar minimizar el impacto de la filtración.
¿Qué es el grupo LAPSUS$ y qué sabemos de él?
LAPSUS$ adquirió fama en el 2020 cuando comprometieron los sistemas del Ministerio de Salud de Brasil. Supuestamente se trata de un grupo de ciberdelincuentes latinoamericano que roba información de grandes empresas a cambio de un rescate. Si las víctimas se niegan a pagar, los ciberdelincuentes publican la información robada en Internet. A diferencia de otros grupos de ransomware, LAPSUS$ no cifra los datos de las organizaciones atacadas, simplemente amenaza con filtrar la información en el caso de que la empresa no pague el rescate.
Algunas de las víctimas más importantes de LAPSUS$ son Nvidia, Samsung o Ubisoft. Además, hace poco hicieron públicos 37 GB de código supuestamente relacionados con proyectos internos de Microsoft.
¿Cómo mantenerse a salvo?
Por el momento es imposible afirmar con absoluta certeza que el incidente haya sucedido realmente. La publicación de las capturas de pantalla en sí es un movimiento bastante extraño que puede buscar la autopromoción de los ciberdelincuentes, un ataque a la reputación de Okta o un intento de ocultar el método real por el cual LAPSUS$ ha obtenido acceso a uno de los clientes de Okta.
Dicho esto, para ir a lo seguro, nuestros expertos recomiendan a los clientes de Okta que recurran a las siguientes medidas de protección:
- Realizar un seguimiento especialmente estricto de la actividad de la red y, en concreto, de cualquier actividad relacionada con la autentificación en los sistemas internos.
- Proporcionar al personal una formación adicional en buenos hábitos de ciberseguridad y prepararlos para estar alerta e informar sobre cualquier actividad sospechosa.
- Realizar una auditoría de seguridad de la infraestructura informática de la organización para detectar filtraciones y sistemas vulnerables.
- Restringir el acceso a herramientas de administración remota desde direcciones IP externas.
- Garantizar que solo se pueda acceder a las interfaces de control remoto desde un número limitado de endpoints.
- Seguir el principio de ofrecer privilegios limitados al personal y otorgar cuentas con privilegios altos solo a aquellos que lo necesiten para cumplir con su trabajo.
- Utilizar las soluciones de supervisión, análisis y detección del tráfico de red de ICS para una mejor protección contra ataques que potencialmente amenacen el proceso tecnológico y los principales activos de la empresa.
Las empresas que no cuenten con los recursos internos para supervisar la actividad sospechosa en su infraestructura informática pueden contratar expertos externos.