Analisi del report Microsoft DEV-O537 da parte del nostro nostro cyber security specialist Simone Fratus
Questo mio resume è tratto dalla analisi di un documento Microsoft dove riporto e commento quelle parti che solitamente non vengono comprese ed immediatamente collegate a messaggi, a mio avviso, importanti ed erroneamente sottovalutati da molti.
L'articolo in questione sono il report Microsoft DEV-0537 criminal actor targeting organizations for data exfiltration and destruction.
Nel documento si inizia con il contestualizzare l'azienda criminale per quello che è: DEV-0537, nota anche come LAPSUS$.
DEV-0537 è nota per l'utilizzo di un modello di pura estorsione e distruzione senza distribuire payload di ransomware. Ha iniziato a prendere di mira le organizzazioni nel Regno Unito e in Sud America, ma si è esteso a obiettivi globali, comprese le organizzazioni nei settori governativo, tecnologico, delle telecomunicazioni, dei media, della vendita al dettaglio e sanitario. DEV-0537 è anche nota per rilevare i singoli account utente negli scambi di criptovaluta.
A differenza della maggior parte dei gruppi criminali che rimangono sotto il radar, DEV-0537 non sembra coprire le sue tracce. Si spingono fino ad annunciare i loro attacchi ai social media o a pubblicizzare la loro intenzione di acquistare credenziali dai dipendenti delle organizzazioni target. Utilizza anche diverse tattiche che vengono utilizzate meno frequentemente da altri attori. Le loro tattiche includono l'ingegneria sociale basata sul telefono con attacchi di tipo SIM-swapping per facilitare l'acquisizione dell'account; accedere agli account di posta elettronica personali dei dipendenti delle organizzazioni target; pagare dipendenti, fornitori o partner commerciali delle organizzazioni target per l'accesso alle credenziali e l'approvazione dell'autenticazione a più fattori (MFA) e intromettersi nelle chiamate di comunicazione di crisi in corso dei loro obiettivi.
TUTTO CHIARO?
Se qualcosa ti sta sfuggendo da questa mia sottolineatura siamo disponibili per argomentare questi aspetti ma molte informazioni li troverai nei nostri eBook.
DEV-0537 utilizza una varietà di metodi generalmente incentrati sull'ottenimento delle identità degli utenti per ottenere l'accesso iniziale a un'organizzazione senza più la creazione di un indicatore di compromissione. Tra queste tecniche vi sono:
Distribuzione di malware come Redline per ottenere password e token di sessione
Acquisto di credenziali e token di sessione da forum clandestini criminali #iab
Pagare i dipendenti di organizzazioni mirate (o fornitori/partner commerciali) per l'accesso alle credenziali e l'approvazione del MFA aziendale.
Ricerca di credenziali esposte nei repository di codice pubblico
In alcuni casi, DEV-0537 ha persino chiamato l'help desk dell'organizzazione e ha tentato di convincere il personale di supporto a reimpostare le credenziali di un account privilegiato. Il gruppo ha utilizzato le informazioni raccolte in precedenza (ad esempio, le immagini del profilo) e ha chiesto a un chiamante madrelingua di parlare con il personale dell'help desk per aumentare la propria credibilità. Le azioni osservate hanno incluso DEV-0537 che risponde a comuni richieste di recupero come "prima strada in cui abitavi" o "cognome da nubile della madre" per convincere il personale dell'help desk dell'autenticità.
Tutto il resto lo trovate all'interno dell'articolo Microsoft sopra menzionato.
L'intento è quello di far percepire agli interlocutori che abbiamo incontrato negli ultimi anni che i "fantastici" messaggi che stiamo diffondendo sul territorio non sono in alcun modo tentativi di creare "tensione" immotivata, ma la semplice definizione di quella che chiamiamo "falsa percezione di cybersecurity" e definizione della "reale linea di guerra". Potete quindi capire che quando volutamente spieghiamo che Information Security e molto differente da Cyber Security ed Intelligence.
Per millenni siamo stati abituati alla sicurezza fisica. Ma siamo totalmente impreparati a questo scenario. Affidatevi a persone che hanno esperienze comprovate.