De groep aanvallers die zichzelf Lapsus$ noemt en de afgelopen maanden wist in te breken bij Microsoft, Nvidia, Okta en Samsung maakt vooral gebruik van gestolen authenticatiecookies om toegang tot accounts en systemen te krijgen, zo stelt securitybedrijf NCC Group in een analyse. Ook zet de groep geregeld social engineering in.

"Er wordt aangenomen dat het gebruik van gestolen authenticatiecookies, waarmee de aanvaller toegang tot een specifieke applicatie krijgt, de voornaamste bron van initiële toegang is", zegt David Brown van NCC Group. "Deze cookies zijn vaak in de vorm van Single sign-on (SSO) applicaties waarmee de aanvaller toegang tot andere applicaties kan krijgen en uiteindelijk maatregelen zoals multifactorauthenticatie kan omzeilen." Hoe Lapsus$ de cookies weet te stelen laat het securitybedrijf niet weten.

Eerder meldde Microsoft dat de groep ook gebruikmaakt van de Redline-malware voor het stelen van wachtwoorden en sessietokens. Daarnaast zouden de benodigde authenticatiecookies op internet worden aangeschaft. Tevens maakt de groep veelvuldig gebruik van social engineering. Bij één incident response onderzoek zag NCC Group hoe de aanvallers gecompromitteerde e-mailaccounts van medewerkers gebruikten en daarmee de helpdesk vroegen om inloggegevens of hulp bij het inloggen op de vpn van de onderneming in kwestie.

Aanbevelingen

NCC Group doet verschillende aanbevelingen om aanvallen door de groep te voorkomen. Zo wordt aangeraden om de tijd dat MFA-tokens en sessiecookies geldig zijn te verkorten, MFA voor zowel clouddiensten als remote access oplossingen in te schakelen en ervoor zorgen dat ook in cloudomgevingen voldoende logging plaatsvindt. Verder wordt geadviseerd om geen sms voor MFA te gebruiken en repositories te beveiligen. Lapsus$ wist bij slachtoffers gigabytes aan broncode buit te maken. Verder doen organisaties er verstandig aan om al het personeel over social engineering te trainen.