Según Bleeping Computer, que ha publicado varias capturas de pantalla atribuidas a Lapsus$, el grupo ha hackeado un repositorio de Azure DevOps que contiene el código fuente de Cortana y de varios proyectos de Bing, llamados ‘Bing_STC-SV’, ‘Bing_Test_Agile’ y “Bing_UX”.
La captura de pantalla también muestra otros repositorios de código fuente, pero se desconoce qué contienen. Bleeping Computer añade que, extrañamente, la banda de extorsión dejó las iniciales del usuario conectado, “IS”, en la captura de pantalla, lo que podría permitir a Microsoft identificar y asegurar la cuenta comprometida. La inclusión de las iniciales también puede significar que ya no tienen acceso al repositorio o que simplemente se están burlando de Microsoft, algo que la banda de extorsión es conocida por hacer con víctimas anteriores.
Poco después de publicar la captura de pantalla, la banda de Lapsus$ retiró su publicación y la sustituyó por un mensaje que decía: “Eliminado por ahora, lo volveremos a publicar más tarde”. Sin embargo, investigadores de seguridad, no identificados por Bleeping Computer, ya habían tomado la captura de pantalla y la habían compartido en Twitter para entonces.
Aunque Microsoft no ha confirmado si su cuenta de Azure DevOps ha sido violada, ha dicho a Bleeping Computer que son conscientes de las reclamaciones y las están investigando.
A diferencia de muchos grupos de extorsión conocidos, Lapsus$ no instala el ransomware en los dispositivos de sus víctimas. En su lugar, se dirigen a los repositorios de código fuente de las grandes empresas, roban sus datos propietarios y luego intentan pedir un rescate de millones de dólares a la empresa.
Desafortunadamente, Lapsus$ tiene un historial que confirma la veracidad de sus afirmaciones sobre ataques a otras empresas.
Aunque la filtración del código fuente facilita la búsqueda de vulnerabilidades en el software de una empresa, Microsoft ha declarado anteriormente que la filtración del código fuente no supone un aumento del riesgo. Microsoft afirma que su modelo de amenaza asume que los agentes de amenazas ya entienden cómo funciona su software, ya sea a través de la ingeniería inversa o de anteriores filtraciones de código fuente.
“En Microsoft, tenemos un enfoque de código interno -el uso de las mejores prácticas de desarrollo de software de código abierto y una cultura similar a la del código abierto- para hacer que el código fuente sea visible dentro de Microsoft. Esto significa que no confiamos en el secreto del código fuente para la seguridad de los productos, y nuestros modelos de amenaza asumen que los atacantes tienen conocimiento del código fuente. Por lo tanto, la visualización del código fuente no está vinculada a la elevación del riesgo”, explicó Microsoft en una publicación del blog sobre el acceso de los atacantes de SolarWinds a su código fuente.
