Varonis debuts trailblazing features for securing Salesforce. Learn More

Apresentamos a automação de privilégios mínimos para Microsoft 365, Google Drive e Box

Saiba Mais

Lapsus$: violação de autenticação multifator impactou centenas de empresas

A autenticação multifator é essencial para evitar invasões, mas é preciso adotar outros métodos de segurança para reduzir riscos 
Emilia Bertolli
3 minuto de leitura
Publicado 4 de Maio de 2022
Ultima atualização 9 de Outubro de 2023
Lapsus$: violação de autenticação multifator impactou centenas de empresas

O grupo Lapsus$ está por trás do recente ataque à plataforma de autenticação multifator da Okta, realizado por meio de uma empresa terceirizada que confirmou ter sofrido uma violação de dados em janeiro de 2022. 

A confirmação ocorreu apenas depois que o Lapsus$ divulgou imagens com capturas de tela dos aplicativos e sistemas da Okta. Documentos vazados mostram diversas questões em relação à política de segurança da empresa que, em comunicado, afirma que “deveríamos ter agido mais rapidamente para entender suas implicações”. 

Os hackers tiveram acesso à rede interna da durante cinco dias, entre 16 e 21 de janeiro de 2022, usando um protocolo de área de trabalho remota (RDP) até que a atividade fosse detectada e a conta utilizada suspensa. A violação da autenticação multifator (MFA) impactou 366 clientes. 

Relatório realizado por especialistas da Mandiant divulgou que o Lapsus$ usou a ferramenta Mimikatz para captura de senhas para a violação. Além de conseguirem desativar ferramentas de verificação de segurança que deveriam detectar o ataque. 

O grupo também é suspeito  de ter atacado os sites do Ministério da Saúde e dos Correios no final de 2021, e também da Localiza em janeiro de 2022. 

Adolescentes podem estar por trás dos ataques do Lapsus$

A violação da Okta é apenas a mais recente realizada pelo Lapsus$, que já causou problemas a diversas outras grandes empresas, inclusive na América Latina - o grupo também é suspeito  de ter atacado empresas do setor de telecomunicações no final de 2021. 

As motivações não são claras, tanto que realizam pesquisas interativas entre seus seguidores para escolher seus alvos.  Por outro lado, um adolescente inglês foi acusado de ser um dos líderes do Lapsus$ . White, ou breachbase, seu apelido no grupo, é autista e vive em Oxford com seus pais, e é suspeito de ter acumulado uma fortuna de US$ 14 milhões (300 bitcoins) provenientes de ataques hackers. Autoridades suspeitam que outro integrante do grupo seja um adolescente que mora no Brasil. 

Recentemente, a polícia britânica afirmou ter prendido sete pessoas relacionadas ao Lapsus$,  todas entre 16 e 21 anos, sem citar se White estava entre elas. De acordo com matéria na Bloomberg, acredita-se que seus dados foram divulgados por outros integrantes de grupo devido a algum desentendimento interno. 

Autenticação multifator em cheque?

A pressão por adotar a autenticação multifator faz com que muitos provedores de SaaS ofereçam diversas opções de MFA para seus usuários terem uma segunda linha de defesa para evitar ataques que envolvam suas senhas. Isso tem levado à descoberta de algumas falhas no MFA, como as encontradas pela equipe da Varonis Threat Labs para as contas Box, que permitem ao invasor usar credenciais roubadas para comprometer contas e exfiltrar dados. 

Isso, obviamente, não significa que a autenticação multifator não seja segura, pelo contrário, ela é uma das melhores formas que os usuários têm de proteger seus dados. 

Essa autenticação requer o uso de vários métodos para verificar a identidade de um usuário, por exemplo, combinando duas ou mais credenciais – uma senha e o uso de um token de segurança, como um código enviado por SMS ou e-mail, ou até mesmo técnicas de verificação biométrica. 

O objetivo é criar uma nova camada de segurança que torne a tarefa de acessar os dados de um possível alvo mais difícil. Em um ataque de força bruta, em que cibercriminosos usam ferramentas automatizadas para adivinhar combinações de usuários e senhas, no caso da quebra dessa senha, o MFA atua para dificultar que a conta seja invadida. 

Apesar dos benefícios, o MFA também tem fatores que contam negativamente para seu uso, como o compartilhamento de senhas pessoais e tokens de identificação. Além disso, as técnicas utilizadas para a autenticação multifator precisam ser constantemente atualizadas para evitar que cibercriminosos encontrem meios de burlá-las, sem que a experiência do usuário seja prejudicada. 

Dados divulgados pelo Google mostram que adicionar um número de telefone de recuperação à conta do serviço, por exemplo, foi capaz de bloquear até 100% dos bots automatizados, 99% dos ataques de phishing em massa. Entretanto, apenas 66% dos ataques direcionados foram evitados. 

Ou seja, apenas o MFA pode não ser suficiente para evitar uma possível violação de dados. Assim, é essencial manter os usuários atualizados sobre estratégias de ataque mais utilizadas, como o vishing, que é o phishing por meio de ligações telefônicas, usar uma abordagem de Zero Trust e considerar o uso de autenticação  multifatorial biométrica ou baseada em comportamento. 

Sua empresa precisa estar preparada para enfrentar os diversos riscos de segurança de dados, e a Varonis pode te ajudar nessa jornada. Entre em contato e solicite uma demonstração gratuita. 

What you should do now

Below are three ways we can help you begin your journey to reducing data risk at your company:

  1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
  2. Download our free report and learn the risks associated with SaaS data exposure.
  3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
Try Varonis free.
Get a detailed data risk report based on your company’s data.
Deploys in minutes.
Keep reading
o-que-é-uma-avaliação-de-risco-de-dados-e-por-que-você-deve-fazer
O que é uma avaliação de risco de dados e por que você deve fazer
A avaliação de risco dados é essencial para saber onde os dados estão armazenados, quem os utiliza e se estão em segurança 
dspm-x-cspm:-unindo-dados-e-segurança-na-nuvem-com-a-varonis
DSPM x CSPM: unindo dados e segurança na nuvem com a Varonis
Soluções DSPM e CSPM são fundamentais para que as organizações garantam que sua infraestrutura na nuvem e dados estejam seguros 
certificação-do-modelo-de-maturação-da-segurança-cibernética-2.0-(cmmc-2.0)
Certificação do modelo de maturação da segurança cibernética 2.0 (CMMC 2.0)
O DoD está implementando o programa de Certificação do Modelo de Maturidade de Segurança Cibernética 2.0 
ameaças-internas:-3-maneiras-pelas-quais-a-varonis-ajuda-você
Ameaças internas: 3 maneiras pelas quais a Varonis ajuda você
Ameaças internas são difíceis de combater por que os insiders podem navegar em dados confidenciais sem serem detectados