Lapsus teria usado método simples para invadir Microsoft, Samsung e outros

Um método relativamente simples, mas bastante invasivo às vítimas, teria sido usado por integrantes do grupo Lapsus, bem como outras quadrilhas cibercriminosas, nos recentes ataques contra grandes empresas. A tática explora os sistemas de autenticação em múltiplas etapas e “bombardeira” as vítimas com solicitações, principalmente durante a madrugada, de forma a induzir a confirmação e permitir acesso às redes.

• Sete jovens são presos por suposta ligação com o grupo cibercriminoso Lapsus
• EUA alertam sobre mais de 60 brechas em uso nos atuais ciberataques

Na maioria das plataformas, não existem limites quanto ao número de solicitações de verificação enviadas e elas podem ser recebidas por mensagem de texto, notificações em apps ou chamadas telefônicas. Bastaria, então, bombardear um funcionário com centenas de alertas desse tipo para que ele, sem querer, acabe aceitando apenas uma, permitindo a entrada dos criminosos no sistema para a realização de ataques.

Outras táticas são um pouco mais furtivas e envolvem engenharia social ou podem levar mais tempo para serem efetivas. Em uma abordagem, os criminosos enviavam uma ou duas solicitações por dia, de forma aleatória, para que o usuário achasse que existe algum bug no sistema e acabasse aceitando; em outra, mais direta, a vítima recebe uma ligação dos bandidos, que se passam como colegas de trabalho e falam sobre um eventual problema que exige um novo aceite da autenticação em múltiplo fator.

As práticas foram explicadas pelos especialistas em segurança da Mandiant em dezembro do ano passado e também teriam sido citada informalmente por membros do Lapsus em chats no Telegram — o comprometimento dos sistemas da Microsoft, por exemplo, seriam decorrência delas. A mesma tática também seria utilizada por outros grupos cibercriminosos como o Cozy Bear, responsável pelo ataque contra os sistemas da SolarWinds, há um ano.

Por outro lado, com a revelação das táticas, especialistas em segurança digital foram rápidos em apontar que elas não são inéditas nem foram “inventadas” pelo Lapsus. Especialistas em penetração já experimentam com o formato há pelo menos dois anos e a ideia é que tais práticas devem ser incluídas em treinamentos de segurança e alertas a colaboradores, algo que não acontece com frequência hoje em dia.

Dispositivos físicos podem ajudar a evitar ataques

A alternativa apontada por muitos especialistas para esse tipo de prática é o uso de chaves para autenticação em múltiplo fator. Pelo método, é preciso inserir um dispositivo no computador — e, em alguns casos, realizar uma verificação biométrica adicional — para validar o acesso, uma ação que não pode ser feita “por engano” ou como forma de fazer com que notificações sucessivas desapareçam.

O método ainda é pouco usado, mas está disponível em contas corporativas de grandes organizações e também para usuários finais em serviços como os do Google, por exemplo. Porém, não estamos falando da salvação da lavoura aqui, já que os mesmos especialistas apontam que mecanismos voltados para recuperação em caso de perda de chaves ou falhas técnicas também podem ser explorados.

A atenção, por exemplo, deve ser redobrada no caso de sistemas de segurança administrados por terceirizados ou protocolos frágeis de reinicialização de senhas ou contas para acesso. Além disso, claro, é importante não perder o foco em outros vetores de intrusão, já que os perfis de usuário nem de longe são as únicas rotas de comprometimento dos sistemas corporativos.

Fonte: Mandiant, _MG_ (Twitter)