La multinazionale americana ha ammesso di aver subìto un attacco informatico dopo che i criminali-influencer hanno rilasciato sulla rete file e progetti aziendali. Dato che la gang cerca attivamente di reclutare dipendenti delle aziende nel mirino, si sospetta il fattore umano
Ennesimo attacco ransomware ai danni di una multinazionale. In un post sul suo blog, Microsoft ha confermato di essere stata vittima della gang di cibercriminali nota come Lapsus$, responsabile di aver messo in ginocchio la rete di Vodafone Portogallo a inizio febbraio. Il gruppo aveva già annunciato di aver compromesso altre aziende, tra cui Okta, Nvidia, Samsung e Ubisoft.
Microsoft ha spiegato che Lapsus$ ha ottenuto “accesso limitato” ai propri sistemi aziendali dopo aver compromesso un account di un dipendente, e ha aggiunto che i dati personali dei propri utenti sono al sicuro. I file interni sono apparsi sulla rete lunedì sera, probabilmente dopo che l’azienda americana ha rifiutato di pagare il riscatto. Circa 37 gigabyte di materiale, tra cui comunicazioni interne, file sensibili, progetti.
In più – a detta di Lapsus$ – c’è il 90% del codice sorgente di Bing (il motore di ricerca di Microsoft) assieme al 45% di quello di Bing Maps e Cortana (l’assistente vocale). Diversi informatici, dopo aver analizzato il materiale trafugato, hanno detto che appare autentico. Secondo l’azienda, la pubblicazione dei codici sorgente non compromette la sicurezza dei suoi servizi.
Si ritiene che Lapsus$ abbia ottenuto l’accesso a un account aziendale, o possa addirittura aver pagato il personale interno a Microsoft. La tesi è corroborata da un messaggio apparso sul canale Telegram del gruppo, in cui i criminali annunciano di voler reclutare dipendenti o insider in aziende di telecomunicazioni, grandi compagnie di software e gaming, call center e realtà di server hosting, o chiunque abbia le credenziali adatte.
Nel post, Microsoft ha spiegato che la cybergang ha mostrato di avere una “comprensione sofisticata delle catene di approvvigionamento tecnologico” e sa come utilizzare le relazioni di un’organizzazione, o la dipendenza da un’altra, a proprio vantaggio. Oltre alle aziende tecnologiche, di telecomunicazione e di supporto IT, i ricercatori dell’azienda hanno osservato come i criminali abbiano preso di mira anche enti governativi, compagnie manifatturiere, scuole e università, il settore energetico, i rivenditori e la sanità.
Quello che distingue Lapsus$ è che i suoi membri non sembrano interessati a mantenere un basso profilo. Anzi, sembra che si godano la notorietà su Telegram, dove hanno 33.000 follower e un gruppo di fan che ne festeggia le imprese, di cui danno regolarmente conto.
La cybergang ha anche pubblicato delle immagini che dimostrerebbero l’avvenuto accesso ai sistemi interni di Okta. Trattandosi di una piattaforma di autenticazione e gestione dell’identità, il rischio si moltiplica, perché i criminali potrebbero sfruttare gli accessi per infiltrare le aziende che ne utilizzano i servizi. Martedì l’azienda ha ammesso che la sicurezza di centinaia dei propri clienti potrebbe essere stata compromessa.