Microsoft gab in einem offiziellen Blogbeitrag bekannt, dass das Konto eines seiner Mitarbeiter gehackt wurde und die Lapsus$-Bande auf diese Weise an interne Daten des Unternehmens gelangt sei.
Anfang dieser Woche hat die Lapsus$-Bande den Quellcode von Bing-Apps, Cortana und mehreren anderen Anwendungen von Microsoft über einen gehackten Azure DevOps-Server geleakt. Microsoft sicherte das kompromittierte Mitarbeiterkonto und listete auf, wie Lapsus$ funktioniert und wie man es vereiteln kann.
Microsoft fällt Lapsus$ zum Opfer
Am Sonntagmorgen gab die wütende Lapsus$-Gruppe bekannt, dass sie Quellcode-Daten von Microsoft gestohlen habe. Das betroffene Unternehmen teilte mit, dass es den Vorfall untersucht. Und erst gestern teilte die Lapsus$-Bande einen Torrent-Link, über den jeder die gestohlenen Microsoft-Daten herunterladen konnte!
Der Dump enthielt Quellcode verschiedener Microsoft-Anwendungen wie Bing Search, Cortana und Bing Maps, den Lapsus$ angeblich von einem Azure DevOps-Server bezogen hatte. Nun hat Microsoft bestätigt, dass das Konto eines seiner Mitarbeiter kompromittiert wurde und der Bedrohungsakteur auf diese Weise an diese Daten gelangt ist.
Die Erpressergruppe LAPSUS$ hat den Quellcode für Bing, Bing Maps und Microsoft Cortana veröffentlicht.
Sie geben an, dass jede Version unvollständig ist (nicht der gesamte Quellcode).
— vx-underground (@vxunderground) 22. März 2022
Obwohl Microsoft eine strikte Richtlinie verfolgt, keine kritischen Informationen (wie API-Schlüssel oder Anmeldeinformationen) in den Quellcode seiner Projekte aufzunehmen, kann ein Abfluss des Quellcodes den Ruf des Unternehmens erheblich beeinträchtigen. Microsoft sagte jedoch, dass bei diesem Vorfall keine Kundendaten betroffen waren.
Darüber hinaus teilte das Unternehmen mit, dass seine Cybersicherheitsteams schnell darauf reagiert und das kompromittierte Konto gesichert hätten. Verfolgung der Lapsus$-Bande als DEV-0537Microsoft gab an, dass sie mit kompromittierten Anmeldeinformationen in die Konten von Zielpersonen eingedrungen seien.
Dies geschieht entweder durch Diebstahl über den Passwortdiebstahl Redline, durch den Kauf von Anmeldeinformationen und Sitzungstoken in kriminellen Untergrundforen oder sogar durch Bestechung von Mitarbeitern in Zielorganisationen, um sich Zugang zu verschaffen. Microsoft warnt Organisationen vor dieser Cybercrime-Gruppe und gibt folgende Schutztipps:
- Stärkung der MFA-Umsetzung
- Erfordern gesunde und vertrauenswürdige Endpunkte
- Nutzen Sie moderne Authentifizierungsoptionen für VPNs
- Stärken und überwachen Sie Ihre Cloud-Sicherheitslage
- Sensibilisierung für Social-Engineering-Angriffe
- Etablierung operativer Sicherheitsprozesse als Reaktion auf DEV-0537-Eindringversuche
