Włamanie do giganta w zarządzaniu tożsamością

Serwis Sekurak uzsykał dostęp do zrzutów ekranu, udostępnionych przez grupę. Wynika z nich, że włamanie do Okta nastąpiło w poniedziałek 21 marca br.

"Atakujący mieli kompromitować poświadczenia administratora, ale powstrzymali się od pobierania baz danych Okta, uwagę skupiając na klientach (oraz klientach klientów)" - wskazują eksperci.

Ze screenów wynika także, że "środowisko labowe" członkowie LAPSUS$ stworzyli przy użyciu np. VirtualBox'a (od Oracle), a także, że używają GlobalProtect (VPN od PaloAlto).

Błędne nazewnictwo?

W odniesieniu do LAPSUS$ warto wskazać, że jedno z kont na Twitterze "vx-underground" (zajmujące się złośliwym oprogramowaniem) podkreśla, iż nie jest to grupa ranosomware, jak można usłyszeć. Wynika to z faktu, że jej przedstawiciele nie używają oprogramowania szyfrującego.

Przypomnijmy, że na początku marca br. po włamaniu do firmy NVIDIA, cyberprzestępcy z grupy Lapsus$, stojący za tym cyberatakiem, pokonali zabezpieczenia Vodafone. Operator nie miał pojęcia, że został zhakowany.

Jak informowaliśmy, członkowie grupy przed podjęciem wrogich działań stworzyli ankietę dla swoich obserwujących w ramach Telegrama z pytaniem, czyje skradzione dane powinny zostać ujawnione w następnej kolejności. Wśród firm, których rzekomo skradzione dane znalazły się w sondażu, były: firma e-commerce MercadoLibre/MercadoPago, portugalski koncern medialny Impresa i brytjsko-niemiecki operator komórkowy Vodafone. Ponad 50 proc. głosów padło na Vodafone.

Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.