Tras haber sido atacado en diciembre pasado, LastPass dio a conocer detalles de cómo se dio esta amenaza, que se dividió en dos y puso en riesgo “ciertos elementos de la información de nuestros clientes”.
Esta plataforma es una de las importantes en administración de claves, lo que supone un gran problema en caso de filtrarse información de los usuarios, ya que los ciberdelincuentes tuvieron acceso a bóvedas de contraseñas cifradas.
Tras dos meses después del ataque, la compañía reveló información de cómo se dio esta situación y aseguró que mejoraron sus posturas de seguridad para rotar las credenciales críticas y de alto privilegio, además de fortalecer el servicio de la nube para generar alertas y registros.
Le puede interesar: La Comisión Europea prohibió el uso de TikTok en sus teléfonos y dispositivos oficiales
Cómo fue el ataque a LastPass
La empresa contó que todo el incidente inició con ataque a uno de sus ingenieros de DevOps, al que le fue violada e infectada su computadora personal con un registrador de teclas como parte de un ataque cibernético.
De ahí lograron extraer datos confidenciales de sus servidores de almacenamiento en la nube Amazon AWS.
“El actor de amenazas aprovechó la información robada durante el primer incidente, la información disponible de una violación de datos de terceros y una vulnerabilidad en un paquete de software de medios de terceros para lanzar un segundo ataque coordinado”, afirmó la compañía sobre cómo se dividió la situación.
Le puede interesar: Revelan cifras de ciberataques recientes por parte de Rusia a Ucrania
La primera parte se dio en agosto de 2022, donde los ciberdelincuentes accedieron al código fuente y a la información técnica por medio de la cuenta del empleado afectado.
Luego, en diciembre de 2022, el actor aprovechó la información robada para entrar en el almacenamiento basado en la nube y obtener “ciertos elementos de la información de nuestros clientes”.
La amenaza no paró allí, porque en el mismo mes el atacante consiguió una copia de seguridad de los datos de la bóveda de cliente, aunque la empresa no aclaró qué tan reciente era ese consolidado de información.
El alcance del ataque habría afectado a GoTo, empresa matriz de LastPass, que confirmó que en enero también se presentó un acceso no autorizado por parte de terceros al almacenamiento en la nube.
Gran parte de la amenaza se dio gracias a que el delincuente desvió las contraseñas de los empleados a su computadora e implantó un software para ver el registro de teclas usadas.
La recomendación para todos los usuarios de LastPass es hacer un cambio en sus contraseñas maestras y todas aquellas claves guardadas en las bóvedas para evitar problemas de accesos no autorizados a las diferentes plataformas en las que se tiene enlazado este servicio.
Le puede interesar: Un error en Outlook estaría enviando correos spam a la bandeja de entrada
Qué es el ataque de triple extorsión de ransomware
Mientras las compañías encuentran soluciones a ataques, los ciberdelincuentes crean nuevas técnicas para superar esas barreras y volverse más difíciles de detectar. Un ejemplo es lo que está pasando con una nueva modalidad llamada ataque de triple extorsión de ransomware.
Con en esta modalidad buscan dinero, no solo de las organizaciones, sino de todo actor que se pueda ver involucrado. Esto se da porque las compañías están alcanzando altos niveles de defensa y logran recuperar los datos secuestrados sin necesidad de tener que pagar el rescate.
Por ejemplo, si una empresa recupera la información y no paga el dinero solicitado, los atacantes se expande al punto de bloquear servicios, afectando a usuarios u organizaciones asociadas.
Normalmente, un ransomware tiene tres capas de funcionamiento, primero mediante el cifrado de datos, que es tomar la información. Si esto no funciona, amenaza con publicar datos sensibles. Ahora se suma una tercera que es la presión a través de llamadas, correos electrónicos o con la Denegación de Servicio Distribuido, que es colapsar un sitio web o una plataforma para que no opere.