Los atacantes responsables de la violación de LastPass comprometieron la computadora de un trabajador remoto.
En agosto pasado, LastPass sufrió una brecha muy publicitada: los sistemas de los desarrolladores se vieron comprometidos y se robó el código fuente. Esto resultó en una segunda brecha en noviembre, que fue revelada por LastPass en diciembre. La compañía ahora ha revelado que las personas responsables del ataque incluso comprometieron la computadora de un empleado remoto para capturar las credenciales utilizadas en el segundo ataque.
Las credenciales permitieron al atacante robar datos de los servidores de almacenamiento en la cirro de Amazon AWS utilizados por LastPass durante poco más de dos meses.
Según los informes, la PC del desarrollador remoto se vio comprometida a través de una vulnerabilidad de ejecución remota de código en un reproductor multimedia de terceros, que se aprovechó para implementar un registrador de teclas. A posteriori de esto, el atacante pudo esperar hasta que el empleado ingresó su contraseña maestra y se autenticó con autenticación multifactor.
El atacante pudo conseguir a la cúpula corporativa de LastPass del ingeniero de DevOps. Desde la página de soporte de LastPass:
Luego, el actor de amenazas exportó las entradas de la cúpula corporativa nativa y el contenido de las carpetas compartidas, que contenían notas seguras cifradas con paso y claves de descifrado necesarias para conseguir a las copias de seguridad de producción de AWS S3 LastPass, otros posibles de almacenamiento basados en la cirro y algunas copias de seguridad de bases de datos críticas relacionadas.
El desarrollador comprometido fue una de las cuatro personas con paso a las claves de descifrado necesarias para conseguir a los servicios de almacenamiento en la cirro. Esta es en gran medida la definición de un ataque dirigido.
Según LastPass, una vez que el atacante estuvo adentro de la cúpula corporativa de LastPass del ingeniero de DevOps, pudo exportar todo tipo de información potencialmente útil.
La página de soporte menciona que, como parte del trabajo posterior al ataque que se está realizando, el ingeniero de DevOps está recibiendo concurrencia para “reanimar la seguridad de su red doméstica y sus posibles personales”.
Es poco importante pensar que una gran parte del caos antedicho de LastPass se debe a cierto que ejecuta un reproductor multimedia en un sistema utilizado para el trabajo. O, dicho de otra guisa, LastPass permite que un empleado use una computadora con un reproductor multimedia débil para el trabajo. No sabemos si era una máquina de trabajo o una máquina doméstica, pero las dos se parecen mucho en estos días, con dispositivos domésticos que se usan para conseguir a la oficina y dispositivos de trabajo que se usan para actividades no laborales.
Hay un campo de acción corriente aquí, entonces, en términos de si el uso de un dispositivo personal para el trabajo debería favor estado sujeto a decisiones de instalación de software “aceptables / inaceptables” por parte de TI. Teniendo en cuenta la agravación de este ataque en particular, probablemente haya un buen argumento para ello.
Qué hacer si eres heredero de LastPass
Por el momento, hay mínimo que deba hacer si ya ha seguido los consejos durante la revelación de incumplimiento de diciembre. Sin confiscación, si recién ahora se entera de las diversas infracciones de LastPass:
- Cambie su contraseña maestra y luego comience a cambiar los inicios de sesión adentro de su cúpula lo antaño posible, comenzando con los más importantes.
- Comience a usar la autenticación multifactor (MFA) para que su cuenta sea inmune a compromisos similares en el futuro. LastPass admite varios tipos de MFA.
Cómo trabajar desde casa de forma segura
- Use dispositivos provistos o aprobados por su empleador. Esto garantiza que su máquina cumpla con los requisitos de su equipo de seguridad.
- Use una VPN para conectarse a la red de la oficina. Una VPN corporativa protege el tráfico de miradas indiscretas mientras viaja por Internet.
- Cambia la contraseña de tu enrutador. No confíe en la contraseña predeterminada con la que se envió su enrutador, ya que a menudo terminan en largas listas en vírgula.
- Mantenga el software actualizado. Si su empleador no puede refrescar su software automáticamente, tendrá que hacerlo usted. No ignore las ventanas emergentes que le informan que hay una aggiornamento adecuado.
- Utilice una protección eficaz para endpoints. Malwarebytes Endpoint Protection detecta malware como keyloggers y está diseñado para ser claro de implementar y gobernar en máquinas remotas.
Para obtener más información sobre cómo trabajar desde casa de forma segura, lea nuestros consejos de seguridad para trabajar desde casa.
¿Tiene una pregunta candente o desea obtener más información sobre nuestra ciberprotección? Obtenga una prueba comercial gratuita a continuación.
EMPEZAR
