“No final das contas, a flexibilidade de como você pode abusar de contas corporativas para se mover lateralmente e migrar para outros aplicativos na nuvem – existem muitas maneiras diferentes de os invasores usarem credenciais corporativas”, diz Crane Hassold, diretor de inteligência de ameaças da Abnormal Security e ex-analista de comportamento digital do FBI. “É por isso que o phishing é tão popular entre os cibercriminosos, devido ao retorno do investimento.”
Existem maneiras mais fortes de implementar a autenticação de dois fatores e a nova geração de “sem senha ” esquemas de login ou “Passkeys” do padrão FIDO2 da indústria prometem um futuro muito menos phishing. Mas as organizações precisam realmente começar a implementar essas proteções mais robustas para que estejam em vigor quando um agente de ransomware (ou adolescente inquieto) começar a bisbilhotar.
“Phishing é obviamente um grande problema, e a maioria das coisas que normalmente pensamos como autenticação multifator, como usar um aplicativo gerador de código, é pelo menos um pouco phishing, porque você pode enganar alguém para que revele o código ”, diz Jim Fenton, consultor independente de privacidade e segurança de identidade. “Mas com notificações push, é muito fácil fazer com que as pessoas cliquem em ‘aceitar’. Se você precisar conectar algo diretamente ao seu computador para autenticar ou usar algo integrado ao seu endpoint, como um sensor biométrico, essas são tecnologias resistentes a phishing.”
No entanto, entrar em uma organização por meio de phishing não é o único problema. Como o incidente do Uber mostrou, uma vez que o Lapsus$ comprometeu uma conta para obter acesso, eles conseguiram se aprofundar nos sistemas do Uber, porque encontraram credenciais para ferramentas internas por aí desprotegido. Segurança é aumentar a barreira de entrada, não eliminar todas as ameaças, então uma autenticação forte em contas externas certamente teria ajudado muito a impedir um grupo como Lapsus$. Mas as organizações ainda precisam implementar várias linhas de defesa para há um recurso caso um seja violado.
Nas últimas semanas, o ex-chefe de segurança do Twitter Peiter “Mudge” Zatko se declarou publicamente como denunciante contra o Twitter, testemunhando antes re um comitê do Senado dos EUA que o gigante da mídia social é terrivelmente inseguro. As alegações de Zatko – que o Twitter nega – esclarecem o quão alto pode ser o custo quando as defesas internas de uma empresa estão faltando. mas os pesquisadores dizem que a extensão de seu sucesso em comprometer grandes empresas não é apenas notável, mas também perturbadora.
“Lapsus$ destacou que a indústria deve tomar medidas contra essas fraquezas nas implementações comuns de autenticação ”, diz Demirkapi. “No curto prazo, precisamos começar protegendo o que temos atualmente, enquanto no longo prazo devemos avançar para formas de autenticação que são seguras por design.”
Nenhuma chamada de despertar nunca parece suficientemente terrível para produzir investimento maciço e implementação rápida e onipresente de defesas de segurança cibernética, mas com Lapsus$ as organizações podem ter uma motivação adicional agora que o grupo mostrou ao mundo o quanto é possível se você for talentoso e tiver algum tempo em seu mãos.
“Empresas cibercriminosas são exatamente o mesmo que empresas legítimas no sentido de que observam o que outras pessoas estão fazendo e emulam as estratégias que provam ser bem-sucedidas”, diz Callow, da Emsisoft. “Assim, as gangues de ransomware e outras operações estarão absolutamente analisando o que Lapsus$ fez para ver o que podem aprender.”
