Ransomware: Microsoft bestätigt Hack durch Lapsus$
Nach der Veröffentlichung von Code durch Lapsus$ bestätigt Microsoft nun den Hack. Der sei aber sehr begrenzt gewesen.
Windows-Hersteller Microsoft hat im Blog seines Security Response Center (MSRC) eine ausführliche Analyse zum Vorgehen und weitere Erkenntnisse über die Angriffe der Ransomwaregruppe Lapsus$ veröffentlicht. Darin bestätigt Microsoft auch erstmals den Hack durch die Gruppe, nachdem diese zuvor schon Quellcode und interne Daten veröffentlicht hatte.
In dem Blog schreibt Microsoft: "Unsere Untersuchung hat ergeben, dass ein einzelnes Konto kompromittiert wurde, wodurch eingeschränkter Zugriff gewährt wurde. Unsere Cybersicherheits-Reaktionsteams haben schnell reagiert, um das kompromittierte Konto zu reparieren und weitere Aktivitäten zu verhindern." Darüber hinaus setze Microsoft nicht auf die Geheimhaltung von Code als Sicherheitsmaßnahme.
Ausgefeiltes Vorgehen
Der Hack im eigenen Unternehmen spiegele dabei prinzipiell das Vorgehen von Lapsus$ auch bei anderen Zielen, heißt es. So sei der initiale Zugang oft ein kompromittierter Login. Dieser kann durch Passwortklau erreicht werden, den Ankauf von Zugangsdaten aus Untergrund-Foren, Bestechung von Mitarbeitern oder auch durch das Durchsuchen öffentlicher Repositorys.
Ausgehend davon wird weiter in das Netzwerk des Unternehmens vorgedrungen, meist das Firmen-VPN. Dort werden dann Sicherheitslücken in Confluence, Jira oder auch Gitlab ausgenutzt oder nach weiteren Zugängen etwa in internen Kollaborationsplattformen gesucht. Ziel sind demnach Zugänge mit möglichst weitgehenden Rechten wie Admin-Konten von Cloud-Plattformen. Dann wird die gesamte Organisation von ihrem Zugriff auf die eigenen Ressourcen ausgeschlossen.
Die Gruppe ist laut Microsoft auch dabei beobachtet worden, dass sie die Krisenkommunikation der angegriffenen Unternehmen verfolgt oder überwacht, um ihr Vorgehen weiter laufend anpassen zu können. Dabei werden letztlich aber nicht alle angegriffenen Unternehmen auch wirklich erpresst.
Zahlreiche Angriffe
Neben Microsoft wurde auch Samsung bereits von Lapsus$ angegriffen. Bei Samsung wollen die Kriminellen insgesamt 190 GByte an sicherheitsrelevanten Daten erbeutet haben, die sie anschließend über Torrents veröffentlichten. Auch der Anbieter von Authentifizierungsdiensten Okta wurde wohl durch Lapsus$ gehackt.
Zuvor wurde bereits die IT-Infrastruktur des Chipherstellers Nvidia angegriffen. Auch hier wurden Daten entwendet. Allerdings reagierte Nvidia mit einer Gegenattacke und verschlüsselte die VM, mit der die Angreifer auf das interne Netzwerk des Chipherstellers zugegriffen hatten.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
