Microsoft dan Okta Akui Aksi Peretasan LAPSUS$

LAPSUS$ Bobol Data Microsoft dan Okta - Pada hari Selasa, Microsoft mengumumkan bahwa kelompok peretasan yang fokus pada pemerasan, dikenal sebagai LAPSUS$, berhasil mendapatkan "akses terbatas" ke sistemnya. Sementara itu, penyedia layanan autentikasi, Okta, melaporkan bahwa sekitar 2,5% kliennya mungkin telah terpengaruh oleh insiden tersebut.

Microsoft's Threat Intelligence Center (MSTIC) menyatakan bahwa operasi ini tidak melibatkan kode atau data pelanggan, dan pelanggaran tersebut diaktifkan oleh satu akun yang berhasil disusupi. Sebelum pengumuman publik, Microsoft mengawasi grup dengan nama kode DEV-0537, mencatat bahwa keamanan mereka tidak bergantung pada kerahasiaan kode.

Okta, penyedia layanan autentikasi, mengungkapkan bahwa penyerang memperoleh akses ke laptop pekerja antara 16 dan 21 Januari, tetapi layanan itu sendiri tidak terpengaruh. Cloudflare memperingatkan bahwa mengubah password pengguna saja tidak cukup, karena penyerang juga perlu memodifikasi token hardware (FIDO) untuk mengamankan akun.

LAPSUS$, yang pertama kali muncul pada Juli 2021, telah menyerang sejumlah besar perusahaan, termasuk Impresa, Kementerian Kesehatan Brasil, Claro, Embratel, NVIDIA, Samsung, Mercado Libre, Vodafone, dan yang terbaru Ubisoft. Mereka menggunakan metode pemerasan tanpa mendistribusikan ransomware dan tampaknya tidak menutupi jejaknya.

Kelompok ini menggunakan berbagai taktik, termasuk social engineering berbasis telepon, penggunaan RedLine Stealer, dan SIM swap untuk memfasilitasi pengambilalihan akun. Mereka juga menyalahgunakan kredensial dan token akses yang diperoleh dari web pasar gelap dan repositori kode publik untuk mencapai akses tinggi.

Baca Juga: Cara Mengatasi Social Engineering

Microsoft merekomendasikan agar perusahaan menerapkan autentikasi multifaktor (non-SMS), menggunakan autentikasi modern seperti OAuth atau SAML, meninjau masuk individu untuk tanda-tanda aktivitas anomali, dan memantau komunikasi respons insiden untuk mengurangi risiko.

Okta menunda pengungkapan pelanggaran data selama dua bulan, menimbulkan pertanyaan dari kelompok cybercriminal. LAPSUS$ menuduh Okta menyimpan kunci Amazon Web Services (AWS) di dalam Slack dan teknisi dukungan memiliki "akses berlebihan" ke platform pengiriman pesan.

Dengan adanya aksi peretasan LAPSUS$ yang semakin merajalela, perusahaan perlu meningkatkan langkah-langkah keamanan mereka, termasuk penggunaan autentikasi multifaktor, pemantauan aktivitas anomali, dan pembaruan teratur terhadap kerentanan. Ancaman pemerasan semakin canggih, dan keberhasilan dalam menghadapinya memerlukan kewaspadaan dan tindakan proaktif.