Hackers van de cybercriminele groep LAPSUS$ hebben screenshots gepubliceerd, die naar verluidt zijn genomen van binnen Okta’s informatiesystemen. Als dit inderdaad klopt, hebben ze niet alleen toegang tot de website van het bedrijf, maar ook tot een aantal andere interne systemen, waaronder vrij kritieke.
LAPSUS$ beweert dat ze geen gegevens van het bedrijf zelf hebben gestolen, en dat hun doelwitten voornamelijk de klanten van Okta waren. Op basis van de data op de screenshots lijkt het dat de aanvallers al in januari 2022 toegang tot de systemen hadden.
Wat is Okta en waarom zou deze hack zo gevaarlijk kunnen zijn?
Okta ontwikkelt en onderhoudt systemen voor identiteits- en toegangsbeheer. Ze bieden in het bijzonder een single sign-on oplossing aan. Een groot aantal grote bedrijven maakt gebruik van de oplossingen van Okta.
Experts van Kaspersky Lab denken dat de toegang van de hackers tot de systemen van Okta een verklaring kan zijn voor een aantal van de nogal spraakmakende datalekken van grote bedrijven, waarvoor hackers van LAPSUS$ de verantwoordelijkheid al hebben opgeëist.
Hoe kregen de cybercriminelen toegang tot de systemen van Okta?
Op dit moment is er geen afdoend bewijs dat de hackers werkelijk toegang hebben gekregen. Volgens de officiële verklaring van Okta voeren hun specialisten momenteel een onderzoek uit en belooft het bedrijf details te delen zodra het onderzoek is afgerond. Het is mogelijk dat de gepubliceerde screenshots verband houden met een incident in januari, toen een onbekende actor probeerde het account van een technische supportmedewerker van een externe onderaannemer te compromitteren.
Op 23 maart 2022 publiceerde LAPSUS$ een reactie op de officiële verklaring van Okta, waarin ze het bedrijf ervan beschuldigden dat Okta de impact van het lek probeerde te bagatelliseren.
Wie behoren er tot de LAPSUS$-groep en wat weten ze over ze?
LAPSUS$ verwierf in 2020 bekendheid toen ze de systemen van het Braziliaanse ministerie van Volksgezondheid compromitteerden. Vermoedelijk gaat het hier om een Latijns-Amerikaanse hackersgroep die informatie van grote bedrijven steelt om vervolgens losgeld te eisen. Als de slachtoffers weigeren te betalen, publiceren de hackers de gestolen informatie op het internet. In tegenstelling tot veel andere ransomware-groepen versleutelt LAPSUS$ de gegevens van gehackte organisaties niet, maar dreigen ze eenvoudigweg de gegevens te lekken als er niet betaald wordt.
Bekende slachtoffers van LAPSUS$ zijn Nvidia, Samsung en Ubisoft. Bovendien hebben ze onlangs 37 GB aan code vrijgegeven die vermoedelijk verband houdt met interne Microsoft-projecten.
Zo blijft u veilig
Op dit moment is het onmogelijk om met absolute zekerheid te stellen dat het incident echt heeft plaatsgevonden. De publicatie van screenshots is op zich een nogal vreemde zet die gericht kan zijn op zelfpromotie van de hackers, een aanval op de reputatie van Okta of een poging om de echte methode te verbergen waarmee LAPSUS$ toegang kreeg tot een van Okta’s klanten.
Om het zekere voor het onzekere te nemen, raden onze experts klanten van Okta aan de volgende beschermende maatregelen te nemen:
- Bijzonder streng toezicht op netwerkactiviteiten en in het bijzonder op alle activiteiten in verband met authenticatie binnen interne systemen;
- Geef het personeel een aanvullende cyberveiligheidstraining en bereid hen voor om alert te zijn en elke verdachte activiteit te melden;
- Voer een beveiligingsaudit uit van de IT-infrastructuur van uw organisatie om lacunes en kwetsbare systemen aan het licht te brengen;
- Beperk de toegang tot tools voor beheer op afstand vanaf externe IP-adressen;
Zorg ervoor dat interfaces voor toegang op afstand alleen toegankelijk zijn vanaf een beperkt aantal eindpunten; - Hanteer het principle of least privilege voor personeel en geef accounts met hoge privileges alleen aan degenen die dit echt nodig hebben om hun werk te kunnen doen;
- Gebruik oplossingen voor monitoring, analyse en detectie van ICS-netwerkverkeer voor een betere bescherming tegen aanvallen die een bedreiging kunnen vormen voor technologische processen en de belangrijkste bedrijfsmiddelen.
Bedrijven die geen interne middelen hebben om verdachte activiteiten binnen hun IT-infrastructuur te monitoren kunnen externe experts inschakelen.