Хакеры из группировки LAPSUS$ опубликовали в Интернете скриншоты, предположительно сделанные в информационных системах компании Okta. Если верить злоумышленникам, то они имеют доступ не только к сайту компании, но и к ряду других внутренних систем, в том числе и достаточно критическим.

Что за компания Okta и почему ее взлом так важен?

Компания Okta разрабатывает и поддерживает системы управления учетными данными и доступами (Identity and Access Management). В частности, они поставляют решение для единого входа (Single Sign-On). Клиентами Okta является огромное количество достаточно крупных фирм.

Как злоумышленники проникли в инфраструктуру Okta?

На данный момент доподлинно неизвестно, как хакеры получили доступ. Не исключено, что опубликованные скриншоты связаны с январским инцидентом, в ходе которого неизвестные пытались скомпрометировать учетную запись инженера техподдержки, работающего на стороннего подрядчика.

Кто такие LAPSUS$ и что про них известно?

LAPSUS$ приобрела известность в 2020 году — тогда преступники проникли в системы бразильского Министерства здравоохранения. Предположительно, это латиноамериканская хакерская группировка, похищающая информацию крупных компаний ради выкупа. Если жертвы отказываются платить выкуп, хакеры выкладывают похищенную информацию в свободный доступ. В отличие от многих других группировок вымогателей, в LAPSUS$ не занимаются шифрованием данных взломанных организаций, а фокусируются именно на угрозах утечки в случае неуплаты выкупа.

Как оставаться в безопасности?

Эксперты «Лаборатории Касперского» рекомендуют клиентам Okta следующее:

• начните собенно тщательно мониторить всю сетевую активность и в первую очередь активность, связанную с аутентификацией во внутренних системах компании;
• проведите сотрудникам тренинги по цифровой гигиене и объясните им, кому и как они могут сообщить о подозрительной активности в случае ее обнаружения;
• проведите аудит безопасности IT-инфраструктуры компании, чтобы выявить возможные проблемы и уязвимости;
• ограничьте доступ к инструментам удаленного управления с внешних IP-адресов;
• убедитесь в том, что интерфейсы удаленного управления доступны только для ограниченного числа конечных точек;
• ограничьте права сотрудников по умолчанию и выдавайте повышенные привилегии только в тех случаях, когда они действительно нужны для выполнения сотрудниками их работы;
• в автоматизированных системах управления используйте специализированные средства для мониторинга трафика, анализа и обнаружения угроз.

Компании, не имеющие возможностей или ресурсов для самостоятельного мониторинга подозрительной активности в инфраструктуре, могут воспользоваться услугами сторонних экспертов.

Полный текст статьи читайте в блоге «Лаборатории Касперского».