Quali sono le possibili conseguenze dell’hack di Okta?

I criminali informatici del gruppo Lapsus$ affermano di aver violato Okta, un importante fornitore di sistemi di gestione degli accessi. Che succede ora?

I cyber criminali appartenenti al gruppo di criminalità informatica LAPSUS$ hanno pubblicato degli screenshot, presumibilmente presi dall’interno dei sistemi informatici di Okta. Se le affermazioni sono vere, hanno accesso non solo al sito web della società, ma anche a una serie di altri sistemi interni, compresi quelli abbastanza critici.

LAPSUS$ sostiene di non aver rubato alcun dato dall’azienda stessa, e che i loro obiettivi erano principalmente i clienti di Okta. A giudicare dalle date degli screenshot, i criminali informatici hanno avuto accesso ai sistemi già a gennaio 2022.

Cos’è Okta e perché la violazione potrebbe essere così pericolosa?

Okta sviluppa e mantiene sistemi di gestione delle identità e degli accessi. In particolare, forniscono una soluzione single sign-on. Un gran numero di grandi aziende utilizzano le soluzioni di Okta.

Gli esperti di Kaspersky Lab credono che l’accesso dei criminali informatici ai sistemi di Okta possa spiegare una serie di fughe di dati di alto profilo di grandi aziende, tra cui i cybercriminali di LAPSUS$ hanno già rivendicato la responsabilità.

Come fanno i criminali informatici ad accedere ai sistemi di Okta?

Al momento, non ci sono prove certe che gli hacker abbiano davvero ottenuto l’accesso. Secondo la dichiarazione ufficiale di Okta, i suoi specialisti stanno attualmente conducendo un’indagine e la società promette di condividere i dettagli non appena l’indagine sarà completata. È possibile che gli screenshot pubblicati siano legati all’incidente di gennaio, quando un attore sconosciuto ha cercato di compromettere l’account di un ingegnere di supporto tecnico che lavorava per un terzo subappaltatore.

Il 23 marzo 2022, LAPSUS$ ha pubblicato la sua risposta alla dichiarazione ufficiale di Okta in cui accusa l’azienda nel tentativo di minimizzare l’impatto della violazione.

LAPSUS$ ha risposto alla dichiarazione ufficiale di Okta

LAPSUS$ ha risposto alla dichiarazione ufficiale di Okta

 

Chi è il gruppo LAPSUS$ e cosa ne sappiamo?

LAPSUS$ ha guadagnato fama nel 2020 quando ha compromesso i sistemi del Ministero della Salute brasiliano. Presumibilmente, si tratta di un gruppo di hacker latino-americano che ruba informazioni da grandi aziende in cambio di un riscatto. Se le vittime si rifiutano di pagare, gli hacker pubblicano le informazioni rubate su Internet. A differenza di molti altri gruppi di ransomware, LAPSUS$ non cifra i dati delle organizzazioni violate, ma semplicemente minaccia di far trapelare i dati in caso di mancato pagamento del riscatto.

Tra le vittime illustri di LAPSUS$ ci sono Nvidia, Samsung e Ubisoft. Inoltre, recentemente sono stati rilasciati 37 GB di codice che si crede siano legati a progetti interni di Microsoft.

Come rimanere al sicuro?

Al momento è impossibile dire con assoluta certezza che l’incidente sia realmente accaduto. La pubblicazione degli screenshot è di per sé una mossa piuttosto strana che potrebbe essere finalizzata all’autopromozione degli hacker, un attacco alla reputazione di Okta o un tentativo di nascondere il vero metodo con cui LAPSUS$ ha avuto accesso a uno dei clienti di Okta.

Detto questo, per andare sul sicuro, i nostri esperti raccomandano ai clienti di Okta di adottare le seguenti misure di protezione:

  • Applicare un monitoraggio particolarmente rigoroso dell’attività di rete e in particolare di qualsiasi attività legata all’autenticazione nei sistemi interni;
  • Fornire al personale un’ulteriore formazione sull’igiene della cybersecurity e prepararlo ad essere attento e a segnalare qualsiasi attività sospetta;
  • Eseguire un audit di sicurezza dell’infrastruttura IT della vostra organizzazione per rivelare lacune e sistemi vulnerabili;
  • Limitate l’accesso agli strumenti di gestione remota da indirizzi IP esterni;
  • Assicurarsi che le interfacce di controllo remoto siano accessibili solo da un numero limitato di endpoint;
  • Seguire il principio di offrire al personale dei privilegi limitati e concedere account ad alto privilegio solo a chi ne ha bisogno per svolgere il proprio lavoro;
  • Utilizzare soluzioni di monitoraggio, analisi e rilevamento del traffico di rete ICS per una migliore protezione dagli attacchi che potenzialmente minacciano il processo tecnologico e i principali asset aziendali.

Le aziende che non hanno le risorse interne per monitorare le attività sospette nella loro infrastruttura IT possono impiegare gli esperti esterni

 

Consigli