Tocado por dos violaciones de datos el año pasado, LastPass, reveló que los datos exfiltrados durante la primera intrusión, Descubrimiento en agosto, se utilizaron para dirigirse a la computadora personal de uno de sus ingenieros de DevOps y lanzar con éxito un segundo ataque cibernético, detectado en noviembre. Los ciberdelincuentes involucrados en violaciones de la computadora personal del ingeniero infectado con una grabadora de mecanografía (Keylogger). "Es con esta información que pudo liderar un ataque cibernético para exfiltrar datos confidenciales de los servidores de almacenamiento que la compañía opera en la nube de AWS", dijo el administrador de contraseñas en su actualización del incidente de seguridad cibernética. Si LastPass había revelado información sobre las violaciones de datos del año pasado, esta actualización revela por primera vez que el mismo atacante fue responsable de ambas violaciones.

La primera intrusión terminó el 12 de agosto del año pasado. Sin embargo, LastPass indica esta vez que entre el 12 de agosto y el 26 de octubre de 2022, el atacante participó activamente en otra serie de actividades de reconocimiento, enumeración y exfiltración dirigida a la compañía de entorno de almacenamiento en la nube. “Las tácticas, los procedimientos técnicos (TTP) observados, así como los indicadores de compromiso (COI) del segundo incidente no correspondieron a los del primero. Aunque cercano en términos de calendario, no era obvio al principio que los dos incidentes estuvieran directamente vinculados ", dijo Last Pass. Agrega que el atacante ya no tenía una actividad después del 26 de octubre. El desarrollador cuya computadora personal estaba infectada con Keylogger era Uno de los cuatro ingenieros de DevOps en la compañía para tener acceso a los cubos Costle Amazon S3 descifrar las teclas.

Índice
  1. Vuelo de la contraseña principal de un ingeniero de LastPass
  2. Datos robados, utilizados para la segunda violación
  3. Medidas correctivas

Vuelo de la contraseña principal de un ingeniero de LastPass

"El actor de amenaza pudo capturar la contraseña principal del ingeniero en el momento de su entrada, después de la autenticación multifactorial (MFA) del ingeniero y, por lo tanto, acceder a su último paso seguro", dijo LastPass declarado. El cibercriminal luego exportó las entradas a la caja fuerte corporativa y el contenido de los archivos compartidos, incluidas las notas seguras encriptadas con las claves de acceso y descifrado necesarios para acceder a las copias de seguridad de producción de AWS S3 LastPass, a otros recursos de almacenamiento en la nube y ciertas bases de datos críticas relacionadas. El uso de identificadores válidos ha dificultado la detección de la actividad fraudulenta por parte de los investigadores de la compañía. "Durante la primera intrusión, en agosto, la computadora portátil de un ingeniero de software se vio comprometido, lo que permitió al actor de la amenaza de acceder a un entorno de desarrollo basado en la nube y robar el código fuente, la información técnica y ciertos secretos del sistema interno de Last Pass", ". dijo Karim Toubba, CEO de LastPass, en un blog dirigido a los clientes. No se robaron datos de cliente o seguros durante este incidente, porque LastPass no tenía datos de cliente o seguros en el entorno de desarrollo.

Datos robados, utilizados para la segunda violación

"Declaramos este incidente cerrado, pero luego supimos que la información robada durante el primer incidente se había utilizado para identificar los objetivos y activar el segundo incidente", dijo Karim Toubba. Durante el primer incidente, el pirata pudo acceder a los estándares de desarrollo y código fuente a pedido, según la nube, 14 de los 200 estándares de software. También tenía acceso a los scripts internos de los puntos de referencia, que contenían secretos y certificados corporativos, así como documentación interna, en particular información técnica que describe el funcionamiento del entorno de desarrollo.

"En el segundo incidente, el atacante usó la información robada durante la primera intrusión para atacar a un ingeniero de DevOps senior y operar un software vulnerable de tercera parte para instalar una grabadora de mecanografía", dijo el CEO de LastPass. El actor de amenaza ha explotado estos datos, incluidos los identificadores del ingeniero, para eludir y finalmente acceder a las copias de seguridad de la nube. "Los datos accesibles desde estas copias de seguridad incluían datos de configuración del sistema, secretos de API, secretos de integración de tercera parte y datos de clientes encriptados y no encriptados", dijo el gerente. La identidad del atacante y su motivación son desconocidas. "No ha habido contacto o solicitud, y no se ha detectado una actividad subterránea creíble que pueda indicar que el jugador de amenaza participa activamente en la comercialización o venta de cualquier información obtenida durante el 'uno de los dos incidentes", dijo LastPass.

Medidas correctivas

El editor ha tomado varias medidas para fortalecer su seguridad después de estos incidentes. "Hemos invertido mucho tiempo y esfuerzos para fortalecer nuestra seguridad mientras mejoramos las operaciones generales de seguridad", dijo el CEO. Esto implica en particular el fortalecimiento de la seguridad de las redes nacionales y los recursos personales de los ingenieros de DevOps, la renovación de identificadores críticos y de alto privilegio y la implementación de análisis personalizados que hacen posible detectar el abuso continuo de los recursos de AWS. LastPass dice que tiene varios millones de usuarios y más de 100,000 empresas como clientes.