LastPass, el gestor que almacena las contraseñas encriptadas en la nube confirmó que ciberdelincuentes accedieron a su bóveda corporativa o de uso interno luego de robar las credenciales necesarias para conocer su contenido a uno de sus ingenieros de DevOps.
LastPass comunicó a fines de agosto pasado de un incidente de seguridad por el que un actor externo accedió al entorno de desarrollo de la plataforma, ocasión que apuntó que aquello no afectó a los datos guardados por otros usuarios.
Una vez iniciada la investigación interna, concluyó que el hackeo que la actividad de los actores de amenazas en su bóveda de contraseñas encriptadas se limitó al entorno de desarrollo.
Por tal motivo, desde LastPass comentaron que la actividad del grupo de ciberdelincuentes registrada en el gestor de contraseñas se limitaba a un período de cuatro días.
Ahora bien, en octubre, reconoció que esa brecha se saldó con el robo de datos encriptados incluidos en las bóvedas de sus clientes.
La investigación avanzó a nuevas conclusiones sobre sus pesquisas, como por ejemplo una de ellas guarda relación con el modo en que los ciberdelincuentes lograron ingresar a su bóveda corporativa.
Según indicaron en su blog, confirmaron que los ciberdelincuentes "pudieron aprovechar las credenciales válidas robadas de un ingeniero senior de DevOps para acceder a un entorno de almacenamiento en la nube compartido".
La compañía reconoció que este método empleado "dificultó a los investigadores diferenciar entre la actividad del actor de amenazas y la actividad legítima en curso".
No obstante, las alertas del sistema AWS GuardDuty informaron un comportamiento anómalo cuando los ciberdelincuentes intentaron "utilizar las funciones de administración de identidad y acceso (IAM) de la nube para realizar actividades no autorizadas".
En particular, solicitaron acceso para los depósitos S3, protegidos con cifrados como AWS S3-SSE, AWS S3-KMS y AWS S3-SSE-C. Por eso, solicitó credenciales de acceso de AWS y LastPass.
El gestor de contraseñas recordó que los actores de amenazas robaron ciertas credenciales de LastPass, pero que no pudieron utilizarlas porque estaban cifradas.
Los atacantes, para solucionar este sistema de seguridad e ingresar al servicio de almacenamiento de la nube, apuntaron a uno de los cuatros ingenieros de DevOps.
Desde su equipo doméstico explotaron un paquete de 'software' de medios de terceros que "habilitaba la capacidad de ejecución remota" y gracias al cual tenían la oportunidad de implantar el 'malware' 'keylogger'.
Con esto, los ciberdelincuentes pudieron monitorizar los movimientos del ingeniero de DevOps y recolectar datos tras su autenticación de dos pasos.
Luego de acceder, exportaron los archivos de la bóveda corporativa nativa, así como carpetas contenedoras de archivo cifradas y otros recursos de almacenamiento basados en la nube.
Por último, LastPass explicó los pasos que siguieron para proteger dicha cuenta y restringir el acceso de los actores de amenazas a la bóvedas de contraseña de la víctima de este ataque:
De igual forma, LastPass insistió en que desarrolla y habilita análisis personalizados capaces de detectar el abuso continuo de los recursos de AWS.