Depois da NVIDIA e da Samsung no mês passado, o ator de ameaças agora atacou a Microsoft e a Okta. É hora de dar uma olhada nos vetores de ataque do grupo.
Mergulhando em detalhes
A Microsoft publicou uma análise do Lapsus$, também conhecido como DEV-0537. A análise detalhou os vetores de ataque usados pelo grupo para obter acesso inicial. Os TTPs são diversos, indicando que o ator é motivado por destruição e roubo.
- O grupo implanta o ladrão de senhas RedLine para obter acesso a tokens e senhas de sessão.
- Ele compra tokens de sessão e credenciais de fóruns clandestinos.
- Além disso, o Lapsus$ paga aos funcionários de empresas-alvo para acesso a credenciais e aprovação de MFA.
- A gangue vasculha repositórios públicos em busca de credenciais expostas.
O Lapsus$ aproveita essas credenciais e tokens de sessão para acessar sistemas e aplicativos voltados para a Internet. Esses sistemas são soluções VPN, RDP e VDI.
Principais violações
- Esta semana, a Lapsus$ anunciou sua violação da gigante de gerenciamento de identidade e acesso Okta , comprometendo o laptop de um engenheiro de suporte. Isso permitiu que eles redefinissem as senhas de alguns de seus clientes. A gangue alegou ter acesso de administrador e superusuário a vários sistemas.
- O grupo de extorsão de dados comprometeu a Microsoft invadindo a conta de um funcionário para obter acesso limitado a repositórios que contêm o código-fonte do projeto. Os hackers anunciaram que haviam comprometido o servidor Azure DevOps da Microsoft.
- Lapsus$ invadiu a rede interna da NVIDIA e roubou dados confidenciais de credenciais de login com hash a segredos comerciais.
- A gangue, supostamente, abusou de sérias falhas na estrutura de código e no design criptográfico do TrustZone OS, que faz parte do Trusted Execution Environment (TEE) dos smartphones Galaxy. Lapsus$ extraiu 190 GB de dados confidenciais da Samsung .
Quem está por trás do Lapsus$?
- De acordo com a Bloomberg, pesquisadores de segurança cibernética rastrearam os ataques a um jovem de 16 anos que morava com sua mãe na Inglaterra. No entanto, eles não conseguiram vincular todos os hacks Lapsus$ ao adolescente. O suposto hacker atende pelo pseudônimo “breachbase” e “White”.
- Outro membro da gangue é suspeito de ser um adolescente localizado no Brasil. Os pesquisadores detectaram sete contas únicas associadas à gangue. Isso significa que é muito provável que outras pessoas estejam envolvidas nas operações do grupo.
- No entanto, o Lapsus$ tem pouca segurança operacional, permitindo que os pesquisadores obtenham informações confidenciais sobre os hackers adolescentes.
A linha de fundo
As investigações revelaram que o grupo não é motivado apenas pelo ganho financeiro, mas também pela notoriedade, uma vez que não cobre seus rastros. Ela expandiu suas operações para atingir diversas entidades em todo o mundo. Lapsus$ anunciou férias de hackear grandes empresas até 30 de março.