Acesso a computador pessoal de funcionário na origem de ciberataques à LastPass

Depois de em dezembro passado ter divulgado uma violação de dados, o gestor de passwords LastPass revelou agora mais detalhes sobre os ataques de 2022, nomeadamente sobre um segundo ataque aos seus sistemas.

Sabe-se agora que um agente de ameaças acedeu e roubou os dados dos servidores de armazenamento na cloud da AWS durante dois meses. Os cibercriminosos roubaram dados do cofre de senhas parcialmente criptografados e informações de clientes.

De acordo com os mais recentes dados divulgados pela empresa, os cibercriminosos recorreram a informações roubadas em várias violações de dados e a uma vulnerabilidade de execução remota de código para a instalação de um keylogger no computador pessoal de um funcionário. Os cibercriminosos conseguiram instalar este keylogger com sucesso como parte de um ataque que viria a exfiltrar dados dos servidores da cloud AWS.

Segundo um comunicado de segurança, citado pelo ‘Bleeping Computer’, o agente de ameaças conseguiu ter acesso à senha “à medida que ela foi inserida, depois do funcionário ter realizado a autenticação por MFA”.

A utilização de credenciais válidas dotou a atividade maliciosa de uma maior credibilidade, sem que a empresa se apercebesse do acesso indevido e do consequente roubo de dados dos servidores de armazenamento da cloud do LastPass. Tal atividade viria a decorrer entre meados de agosto e o final de outubro de 2022.

O alerta para a atividade fora do normal surgiu através do AWS GuardDuty, quando o agente de ameaça se preparava para executar atividades não autorizadas do Cloud Identity and Access Management.