Uber incolpa LAPSUS$ Hacking Group per la recente violazione della sicurezza

Lunedì, Uber ha rivelato maggiori dettagli sull’incidente di sicurezza verificatosi la scorsa settimana, commentando l’attacco a un attore di minacce che ritiene sia collegato al popolare gruppo di hacking LAPSUS$.

“Questo gruppo in genere utilizza tecnologie simili per rivolgersi alle aziende tecnologiche e solo nel 2022 Microsoft, Cisco, Samsung, NVIDIA e Okta, tra gli altri”, ha affermato la società con sede a San Francisco. Egli ha detto nell’aggiornamento.

La banda di racket finanziariamente motivata ha subito un duro colpo nel marzo 2022 quando la polizia della città di Londra si è mossa per arrestare sette persone di età compresa tra i 16 ei 21 anni per i loro presunti legami con il gruppo. Due di questi imputati minorenni sono accusati di frode.

L’hacker dietro l’hacking di Uber, un diciottenne con il soprannome di Tea Pot, ha anche rivendicato l’irruzione del produttore di videogiochi Rockstar Games durante il fine settimana.

sicurezza informatica

Uber ha affermato che sta lavorando con “diverse società leader nel campo della scientifica digitale” mentre le indagini della società sull’incidente continuano, oltre a coordinarsi con il Federal Bureau of Investigation (FBI) degli Stati Uniti e il Dipartimento di giustizia sulla questione.

Per quanto riguarda il modo in cui è avvenuto l’attacco, il vettore passeggeri ha affermato che un dispositivo “appaltatore esterno” è stato violato con malware e le credenziali del suo account aziendale e venduto sul dark web, confermando un precedente rapporto di Group-IB.

La società con sede a Singapore ha indicato, la settimana precedente, che almeno due dipendenti Uber con sede in Brasile e Indonesia sono stati infettati dal furto di informazioni su Raccoon e Vidar.

READ  La Columbia Britannica è ancora titubante sull'aumento annuale degli affitti consentito per il 2023, ma si impegna a ridurre il livello di inflazione

“L’attaccante ha cercato ripetutamente di accedere all’account Uber dell’appaltatore”, ha affermato la società. “Ogni volta, l’appaltatore ha ricevuto una richiesta di approvazione dell’accesso a due fattori, che inizialmente ha bloccato l’accesso. Tuttavia, alla fine, l’appaltatore ha accettato e l’attaccante ha effettuato l’accesso con successo”.

Dopo aver preso piede, si dice che il criminale abbia ottenuto l’accesso agli account di altri dipendenti, fornendo così alla parte malintenzionata autorizzazioni elevate a “più sistemi interni” come Google Workspace e Slack.

La società ha anche affermato di aver adottato una serie di misure nell’ambito delle misure di risposta agli incidenti, tra cui la disabilitazione degli strumenti interessati, la rotazione delle chiavi per i servizi, la chiusura del database e il blocco degli account dei dipendenti compromessi dall’accesso ai sistemi di Uber o dall’emissione di una reimpostazione della password. invece. quei conti.

Uber non ha rivelato il numero di account dei dipendenti che potrebbero essere stati compromessi, ma ha confermato che non sono state apportate modifiche non autorizzate al codice e che non c’erano prove che l’hacker avesse accesso ai sistemi di produzione che supportano le sue app rivolte ai clienti.

Tuttavia, si dice che il presunto hacker adolescente abbia scaricato un numero imprecisato di messaggi e informazioni interni di Slack da uno strumento interno utilizzato dal suo team finanziario per gestire determinate fatture.

Uber ha anche confermato che l’attaccante aveva accesso ai rapporti di errore di HackerOne, ma ha notato che “qualsiasi segnalazione di errore a cui l’attaccante ha ottenuto l’accesso è stata corretta”.

“C’è una sola soluzione per lavorare sulla base del pagamento [multi-factor authentication] Più flessibile e consiste nella formazione dei dipendenti, che utilizzano l’approccio multifamiliare basato sulla retribuzione, sui tipi comuni di attacchi contro di esso, su come rilevare tali attacchi e su come mitigarli e segnalarli se si verificano”, Roger Grimes, data- ha affermato in una dichiarazione l’evangelista della difesa guidato di KnowBe4.

READ  Air Canada 737 Max 8 gira da solo

È fondamentale per le organizzazioni rendersi conto che l’AMF non è una “panacea” e che non tutti i fattori sono creati uguali, ha affermato Chris Clements, Vice President of Solutions Engineering di Cerberus Sentinel.

sicurezza informatica

Sebbene si sia verificato un passaggio dall’autenticazione basata su SMS a un approccio basato sull’applicazione per mitigare i rischi associati agli attacchi di scambio di SIM, l’hacking di Uber e Cisco evidenzia che i controlli di sicurezza che una volta erano considerati infallibili vengono aggirati con altri mezzi.

Il fatto che gli attori delle minacce si basino su percorsi di attacco come i toolkit dell’adversarial agent-in-the-middle (AiTM) e l’affaticamento MFA (noto anche come bombardamento istantaneo) per indurre un utente ignaro a fornire un passcode monouso (OTP) o inavvertitamente autorizzare una richiesta di accesso indica la necessità di adottare metodi anti-phishing.

“Per prevenire attacchi simili, le organizzazioni dovrebbero passare a versioni più sicure dell’approvazione del Dipartimento di Stato, come la corrispondenza dei numeri, che riduce il rischio che un utente accetti ciecamente una richiesta di verifica dell’autenticazione”, ha affermato Clements.

“La realtà è che se un utente malintenzionato ha solo bisogno di hackerare un singolo utente per causare danni significativi, prima o poi subirai danni significativi”, ha aggiunto Clements, sottolineando che i meccanismi di autenticazione forte “devono essere uno dei tanti controlli difensivi approfonditi per prevenire il compromesso”.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.