Uber reveló el lunes más detalles relacionados con el incidente de seguridad que ocurrió la semana pasada, atribuyendo el ataque a un actor de amenazas que cree que está afiliado al notorio grupo de piratería LAPSUS$.
“Este grupo generalmente usa técnicas similares para atacar a las empresas de tecnología, y solo en 2022 ha violado a Microsoft, Cisco, Samsung, NVIDIA y Okta, entre otros”, dijo la compañía con sede en San Francisco en una actualización.
La banda de extorsionadores con motivación financiera recibió un duro golpe en marzo de 2022 cuando la policía de la ciudad de Londres se movió para arrestar a siete presuntos miembros de la banda LAPSUS$ de entre 16 y 21 años. Semanas después, dos de ellos fueron acusados por sus acciones.
El hacker detrás de la violación de Uber, un adolescente de 18 años que se hace llamar Tea Pot, también se atribuyó la responsabilidad de irrumpir en el fabricante de videojuegos Rockstar Games durante el fin de semana.
Uber dijo que está trabajando con «varias firmas forenses digitales líderes» mientras continúa la investigación de la compañía sobre el incidente, además de coordinar con la Oficina Federal de Investigaciones (FBI) de EE. UU. y el Departamento de Justicia sobre el asunto.
En cuanto a cómo se desarrolló el ataque, la empresa de viajes compartidos dijo que un «contratista de EXT» vio comprometido su dispositivo personal con malware y sus credenciales de cuenta corporativa fueron robadas y vendidas en la web oscura, lo que corrobora un informe anterior de Group-IB.
La empresa con sede en Singapur, la semana anterior, señaló que al menos dos de los empleados de Uber ubicados en Brasil e Indonesia estaban infectados con los ladrones de información Raccoon y Vidar .
“El atacante intentó repetidamente iniciar sesión en la cuenta de Uber del contratista”, dijo la compañía. «Cada vez, el contratista recibió una solicitud de aprobación de inicio de sesión de dos factores, que inicialmente bloqueó el acceso. Eventualmente, sin embargo, el contratista aceptó una y el atacante inició sesión con éxito».
Al establecerse, se dice que el malhechor accedió a las cuentas de otros empleados, lo que equipó a la parte malintencionada con permisos elevados para «varios sistemas internos», como Google Workspace y Slack.
La compañía dijo además que tomó una serie de medidas como parte de sus medidas de respuesta a incidentes, incluida la desactivación de las herramientas afectadas, la rotación de claves de los servicios, el bloqueo de la base de código y también el bloqueo de las cuentas de los empleados comprometidos para que no accedan a los sistemas de Uber o, alternativamente, la emisión de un restablecimiento de contraseña para esas cuentas
Uber no reveló cuántas cuentas de empleados se vieron potencialmente comprometidas, pero reiteró que no se realizaron cambios de código no autorizados y que no había evidencia de que el pirata informático tuviera acceso a los sistemas de producción que respaldan sus aplicaciones orientadas al cliente.
Dicho esto, se dice que el presunto pirata informático adolescente descargó una cantidad no especificada de mensajes internos de Slack e información de una herramienta interna utilizada por su equipo de finanzas para administrar ciertas facturas.
Uber también confirmó que el atacante accedió a los informes de error de HackerOne, pero señaló que «cualquier informe de error al que el atacante pudo acceder ha sido remediado».
«Solo hay una solución para hacer que la [autenticación de múltiples factores] basada en push sea más resistente y es capacitar a sus empleados, que usan MFA basado en push, sobre los tipos comunes de ataques en su contra, cómo detectar esos ataques y cómo mitigarlos e informarlos si ocurren», dijo Roger Grimes, evangelista de defensa basada en datos de KnowBe4, en un comunicado.
Chris Clements, vicepresidente de arquitectura de soluciones en Cerberus Sentinel, dijo que es crucial que las organizaciones se den cuenta de que MFA no es una solución milagrosa y que no todos los factores son iguales.
Si bien ha habido un cambio de la autenticación basada en SMS a un enfoque basado en aplicaciones para mitigar los riesgos asociados con los ataques de intercambio de SIM , el ataque contra Uber y Cisco destaca que los controles de seguridad que alguna vez se consideraron infalibles están siendo eludidos por otros medios.
El hecho de que los actores de amenazas apuesten por rutas de ataque como los kits de herramientas de proxy adversary-in-the-middle ( AiTM ) y la fatiga MFA (también conocida como bombardeo rápido) para engañar a un empleado desprevenido para que entregue inadvertidamente códigos MFA o autorice una solicitud de acceso señala el necesidad de adoptar métodos resistentes al phishing.
«Para evitar ataques similares, las organizaciones deben pasar a versiones más seguras de la aprobación de MFA, como la coincidencia de números, que minimizan el riesgo de que un usuario apruebe ciegamente un mensaje de verificación de autenticación», dijo Clements.
«La realidad es que si un atacante solo necesita comprometer a un solo usuario para causar un daño significativo, tarde o temprano tendrá un daño significativo», agregó Clements, subrayando que los mecanismos de autenticación sólidos «deberían ser uno de los muchos controles defensivos en profundidad». para evitar el compromiso».
