Cyberkriminelle der Erpresser-Gruppe LAPSUS$ haben Screenshots veröffentlicht, die angeblich über das Informationssystem des Unternehmens Okta erstellt wurden. Sollten die Behauptungen stimmen, haben die Angreifer nicht nur Zugriff auf die Website des Unternehmens, sondern auch auf eine Reihe anderer interner Systeme, darunter auch einige kritische Infrastrukturen erhalten.
LAPSUS$ behauptet, keine unternehmensrelevanten Daten gestohlen zu haben; vielmehr richtete sich ihr Angriff auf die Kunden des Unternehmens. Den Informationen auf den Screenshots nach zu urteilen, hatten die Angreifer bereits im Januar 2022 Zugriff auf die Systeme.
Was ist Okta und was macht das Datenleck so gefährlich?
Okta entwickelt und wartet Identitäts- und Zugriffsverwaltungssysteme, darunter auch eine Cloud-basierte Single-Sign-On-Lösung. Eine Vielzahl von Großunternehmen setzt die Lösungen von Okta ein.
Die Experten von Kaspersky sind der Annahme, dass der Zugriff der Cyberkriminellen auf die Systeme von Okta eine Reihe wichtiger Datenlecks anderer Großunternehmen erklären könnte, die Anhänger der Gruppe LAPSUS$ bereits eingeräumt haben.
Wie erhalten Cyberkriminelle Zugriff auf Okta’s Systeme?
Derzeit gibt es keine schlüssigen Beweise dafür, dass sich die Kriminellen tatsächlich Zugriff auf die Unternehmenssysteme verschafft haben. Laut offizieller Erklärung von Okta führen die Spezialisten des Unternehmens derzeit eine Untersuchung der Vorkommnisse durch. Einzelheiten sollen mitgeteilt werden, sobald diese abgeschlossen ist. Die veröffentlichten Screenshots sind vermutlich auf einen im Januar zustande gekommenen Vorfall zurückzuführen, bei dem ein unbekannter Akteur versuchte, das Konto eines technischen Support-Mitarbeiters eines externen Subunternehmens zu kompromittieren.
Am 23. März 2022 reagierte LAPSUS$ öffentlich auf das offizielle Statement von Okta und beschuldigte das Unternehmen, das Ausmaß des Datenlecks zu beschönigen.
Wer steckt hinter der Cybercrime-Gruppe LAPSUS$?
LAPSUS$ erlangte im Jahr 2020 Berühmtheit, als die Gruppe die Systeme des brasilianischen Gesundheitsministeriums kompromittierte. Hinter LAPSUS$ verbirgt sich daher mit großer Wahrscheinlichkeit eine lateinamerikanische Cybercrime-Gruppe, die Informationen von Großunternehmen entwendet und für deren Wiederherstellung Lösegeld fordert. Verweigern Opfer die Zahlung, machen die Kriminellen die gestohlenen Informationen im Internet öffentlich. Im Gegensatz zu vielen anderen Erpresser-Gruppen verschlüsselt LAPSUS$ die entwendeten Daten nicht, sondern droht lediglich, die Daten im Falle einer Zahlungsverweigerung zu vernichten.
Zu namenhaften Unternehmen, die LAPSUS$ bereits zum Opfer gefallen sind, gehören Nvidia, Samsung und Ubisoft. Darüber hinaus veröffentlichte die Gruppe kürzlich 37 GB Code, bei denen es sich mutmaßlich um interne Microsoft-Projekte handelt.
So können Sie sich schützen
Ob sich der Vorfall tatsächlich zugetragen hat, lässt sich derzeit nicht mit absoluter Sicherheit sagen. An sich ist die Veröffentlichung von Screenshots ein recht seltsamer Schachzug, der auf Eigenwerbung der Kriminellen oder eine Beschmutzung des Unternehmensrufs abzielen könnte. Darüber hinaus ist es möglich, dass die Gruppe auf diese Weise lediglich versucht, die wahre Methode hinter dem Okta-Angriff zu verschleiern.
Um auf Nummer sicher zu gehen, empfehlen unsere Experten den Kunden von Okta, folgende Schutzmaßnahmen zu ergreifen:
- Strenges Monitoring der Netzwerkaktivitäten und insbesondere aller Aktivitäten im Zusammenhang mit der Authentifizierung in internen Systemen;
- Schulen Sie Ihre Mitarbeiter im Bereich IT-Hygiene und weisen Sie sie an, verdächtige Aktivitäten zu melden;
- Führen Sie ein Sicherheitsaudit der IT-Infrastruktur Ihres Unternehmens durch, um Lücken und anfällige Systeme zu identifizieren;
- Schränken Sie den Zugriff auf Remote-Management-Tools über externe IP-Adressen ein;
- Stellen Sie sicher, dass auf Schnittstellen zur Fernsteuerung nur von einer begrenzten Anzahl von Endpunkten aus zugegriffen werden kann;
- Gewähren Sie erweiterte Berechtigungen nur den Mitarbeitern, die diese auch tatsächlich zur Erfüllung ihrer Aufgaben benötigen;
- Setzen Sie Lösungen zur ICS-Netzwerk-Traffic-Überwachung, -Analyse und -Erkennung ein, um sich vor Angriffen, die technologische Prozesse und wichtige Unternehmensressourcen bedrohen könnten, zu schützen.
Unternehmen, die nicht über die internen Ressourcen verfügen, um verdächtige Aktivitäten in ihrer IT-Infrastruktur zu überwachen, sollten [MDR placeholder]externe Experten[/MDR placeholder] mit dieser Aufgabe beauftragen.