Okta Sitel Sykes Enterprises Lapsus$
Эксперты проследили утечку данных до сети компании Sykes Enterprises, которую Sitel приобрела в августе 2021 года.
Компания Sitel, оказавшаяся в центре широкомасштабной утечки данных, затронувшей популярного провайдера управления доступом Okta, обвинила в данном происшествии «унаследованную» сеть.
Напомним, ранее киберпреступная группировка Lapsus$ опубликовала в мессенджере Telegram скриншоты данных, предположительно похищенных после получения доступа к Okta.com Superuser/Admin и другим компьютерным системам компании Okta. Okta провела анализ скриншотов с изображением предполагаемой утечки ее данных и сообщила, что они связаны с киберинцидентом, который произошел в январе 2022 года.
Представители компании Sitel проследили утечку данных до «унаследованной» сети компании Sykes Enterprises, которую Sitel приобрела в августе 2021 года. 20 января 2022 года Sitel Group стало известно о киберинциденте, который затронул часть унаследованной сети Sykes. Затем Sitel Group предприняла необходимые меры по уведомлению и защите всех потенциально пострадавших клиентов, которые обслуживались прежней организацией.
Согласно отчету ИБ-компании Mandiant, группировка Lapsus$ эксплуатировала уязвимость CVE-2021-34484, прежде чем использовать готовые инструменты с GitHub для обхода агента конечных точек FireEye компании. Оттуда хакеры загрузили популярную утилиту для сброса учетных данных Mimikatz и создали бэкдор-пользователей в среде Sitel после получения доступа к документу Microsoft Excel под названием DomAdmins-LastPass.xlsx. LastPass — популярное приложение для управления паролями, а DomAdmins может быть сокращением от Domain Administrators («Администраторы домена»).
«В некоторых СМИ ложно утверждалось, что была раскрыта электронная таблица, которая содержала скомпрометированные пароли и тем самым способствовала кибератаке. В этой электронной таблице просто перечислены имена учетных записей устаревшего Sykes Enterprises, но не содержится никаких паролей. Единственной ссылкой на пароли в электронной таблице была дата, когда пароли были изменены для указанной учетной записи», — говорится в сообщении компании Sitel.
SECURITYLAB.RU