Nas horas seguintes à notícia de que a Lapsus$ alegou ter violado a Okta, uma empresa de gerenciamento de identidade e acesso corporativo, a equipe de pesquisa e inteligência de ameaças da SecurityScorecard (SSC) conduziu uma investigação rápida sobre a Lapsus$ para fornecer aos clientes e parceiros o que há de mais recente em inteligência de segurança acionável e insights relacionados a esse grupo emergente de crimes cibernéticos.
As metas da Lapsus$ evoluíram rapidamente de organizações brasileiras e portuguesas para empresas de tecnologia americanas de alto perfil com presença global e grandes bases de clientes.
O SSC acredita que a Lapsus$ está obtendo acesso inicial às suas vítimas através do uso de engenharia social, cookies roubados, phishing e o potencial recrutamento de funcionários/insiders das organizações vítimas. Esses vetores de ataque não exigem muita habilidade técnica para serem implantados.
A Lapsus$ se envolve diretamente com seus seguidores do Telegram para pesquisar quais dados de suas vítimas devem vazar em seguida, fornecer atualizações e responder perguntas sobre suas atividades.
Até o momento, o SSC não encontrou nenhuma evidência de Lapsus$ implantar ransomware ou malware nas redes de sua vítima. Em vez disso, Lapsus$ rouba dados e os mantém reféns. Lapsus$ também desfigurou sites e realizou falsificação de DNS.
Os certificados de assinatura de código da Microsoft e da NVIDIA vazados pelo Lapsus$ foram usados com sucesso para assinar várias ferramentas de malware e hacking, como Cobalt Strike, Mimikatz, Quasar RAT e outros drivers de backdoors e Windows.
O que é Lapsus$
Lapsus$ é um grupo emergente de crimes cibernéticos que se comunica em inglês e português. O canal Telegram do grupo começou em 10 de dezembro de 2021, no entanto, referências ao grupo em fóruns online de crimes cibernéticos foram observadas já em junho de 2021, quando um ator se identificou como Lapsus $ afirmou ter obtido 780 GB de dados da Electronic Arts (EA), incluindo o código-fonte do FIFA 2021, bem como outros jogos proprietários da EA e kits de desenvolvimento de software (SDK). A EA confirmou que o grupo de hackers sem nome roubou o código-fonte do FIFA 21 e ferramentas relacionadas, bem como o código-fonte do mecanismo Frostbite que alimenta jogos como Battlefield e outras ferramentas internas de desenvolvimento de jogos.
Vítimas do Lapsus$
A maioria das vítimas do Lapsus$ está localizada no Brasil, Estados Unidos e Portugal. Desde a sua criação “oficial” em dezembro de 2021, a Lapsus$ reivindicou as seguintes organizações como vítimas:
- Ministério da Saúde do Brasil
- Escola Virtual do Governo Brasileiro
- Agência Nacional de Transportes Terrestres
- Vlibras (Serviços de Tradução do Governo Brasileiro)
- Correios
- Claro
- SIC
- Expresso
- Localiza
- Vodafone
- NVIDIA
- Samsung
- Microsoft
- Okta
Até o momento, o Lapsus$ não assumiu uma postura política nem reivindicou qualquer patrocínio estatal. Especula-se que o grupo esteja sediado na América Latina, provavelmente no Brasil, devido ao direcionamento de organizações governamentais e empresas brasileiras, e ao uso do idioma português em seu canal Telegram. No entanto, há evidências de que pelo menos um operador Lapsus$ pode estar localizado no Reino Unido. De acordo com um relatório divulgado pela DarkOwl, um widget meteorológico mostrado em uma das capturas de tela fornecidas pela Lapsus$ para confirmar seu acesso a uma rede comprometida mostrou que a temperatura era de 4 graus Celsius às 21h56 de 25 de dezembro de 2021. DarkOwl indicou que o Brasil não tinha essas condições meteorológicas naquela hora/data, mas Londres tinha. Além disso, em janeiro de 2022, um dox postado no Doxbin sugeriu que um membro de alto escalão do Lapsus$ era na verdade um adolescente de 16 anos residente em Kidlington, Reino Unido, que usava regularmente os pseudônimos SigmA, wh1te e Breachbase no submundo. O dox pode ter vazado em retaliação depois que Lapsus$ compartilhou documentos internos hackeados do Doxbin em seu canal Telegram em 5 de janeiro.
Principais insights sobre o Lapsus$
De acordo com a pesquisa da SecurityScorecard, não há evidências que demonstrem que o Lapsus$ usou malware para obter acesso à rede de suas vítimas, nem implantou qualquer tipo de ransomware.
Há evidências de que o Lapsus$ obteve acesso às suas vítimas por meio dos canais do Slack usados pela vítima, por meio do uso de cookies roubados e engenharia social.
O Lapsus$ tem um histórico de fazer exigências irreais em troca de seus dados roubados. O grupo não parece ser capaz de determinar um valor de resgate apropriado para os dados que roubou, nem parece dar às vítimas muito tempo para negociar um pagamento em troca de não vazar informações.
Isso leva a dois cenários potenciais: Um, os membros do Lapsus$ são imaturos e pouco profissionais. Ou, dois, os membros do Lapsus$ não são motivados financeiramente e fazem exigências irreais sabendo que suas vítimas não pagarão, para que possam ganhar atenção e infâmia vazando dados de empresas de alto perfil.
O Lapsus$ não é um agente de ameaças tecnicamente sofisticado e provavelmente não implantará malware ou confiará em vetores de ataque altamente técnicos para obter acesso às redes das vítimas. É mais provável que realize ataques de engenharia social e phishing para obter acesso inicial às redes de suas vítimas.
Panorama
Independentemente da abordagem menos sofisticada e barulhenta do Lapsus$, suas técnicas parecem ser bem-sucedidas em causar interrupções. No entanto, não está claro se o Lapsus$ já recebeu com sucesso o pagamento em troca de dados roubados. Em última análise, isso injetará tensão no grupo à medida que os pesquisadores da lei e da segurança cibernética descobrem e expõem mais de suas atividades. À medida que essa pressão aumenta e o Lapsus$ não tem ganho financeiro com suas atividades ilegais, a SecurityScorecard acredita que os membros do Lapsus$ comecem a questionar seu próprio envolvimento no grupo e até mesmo saiam.
Mas para evitar problemas com vazamento de dados e a credibilidade no mercado, a Vantix recomenda que você faça uma análise das falhas de segurança da sua empresa e receba a pontuação do cenário atual, para que possa tomar as medidas necessárias de proteção. Utilize o link abaixo para solicitar seu score de cibersegurança.
Deixe um comentário