Lapsus$ se infiltra em vítimas de alto perfil por meio de contas de funcionários

Depois da NVIDIA e da Samsung no mês passado, o ator de ameaças agora atacou a Microsoft e a Okta. É hora de dar uma olhada nos vetores de ataque do grupo.

Mergulhando em detalhes

A Microsoft publicou uma análise do Lapsus$, também conhecido como DEV-0537. A análise detalhou os vetores de ataque usados ​​pelo grupo para obter acesso inicial. Os TTPs são diversos, indicando que o ator é motivado por destruição e roubo. 

• O grupo implanta o ladrão de senhas RedLine para obter acesso a tokens e senhas de sessão.
• Ele compra tokens de sessão e credenciais de fóruns clandestinos.
• Além disso, o Lapsus$ paga aos funcionários de empresas-alvo para acesso a credenciais e aprovação de MFA.
• A gangue vasculha repositórios públicos em busca de credenciais expostas.

O Lapsus$ aproveita essas credenciais e tokens de sessão para acessar sistemas e aplicativos voltados para a Internet. Esses sistemas são soluções VPN, RDP e VDI.  

Principais violações

• Esta semana, a Lapsus$ anunciou sua violação da gigante de gerenciamento de identidade e acesso Okta , comprometendo o laptop de um engenheiro de suporte. Isso permitiu que eles redefinissem as senhas de alguns de seus clientes. A gangue alegou ter acesso de administrador e superusuário a vários sistemas.
• O grupo de extorsão de dados comprometeu a Microsoft invadindo a conta de um funcionário para obter acesso limitado a repositórios que contêm o código-fonte do projeto. Os hackers anunciaram que haviam comprometido o servidor Azure DevOps da Microsoft.
• Lapsus$ invadiu a rede interna da NVIDIA e roubou dados confidenciais de credenciais de login com hash a segredos comerciais.
• A gangue, supostamente, abusou de sérias falhas na estrutura de código e no design criptográfico do TrustZone OS, que faz parte do Trusted Execution Environment (TEE) dos smartphones Galaxy. Lapsus$ extraiu 190 GB de dados confidenciais da Samsung .

Quem está por trás do Lapsus$?

• De acordo com a Bloomberg, pesquisadores de segurança cibernética rastrearam os ataques a um jovem de 16 anos que morava com sua mãe na Inglaterra. No entanto, eles não conseguiram vincular todos os hacks Lapsus$ ao adolescente. O suposto hacker atende pelo pseudônimo “breachbase” e “White”.
• Outro membro da gangue é suspeito de ser um adolescente localizado no Brasil. Os pesquisadores detectaram sete contas únicas associadas à gangue. Isso significa que é muito provável que outras pessoas estejam envolvidas nas operações do grupo.
• No entanto, o Lapsus$ tem pouca segurança operacional, permitindo que os pesquisadores obtenham informações confidenciais sobre os hackers adolescentes.

A linha de fundo

As investigações revelaram que o grupo não é motivado apenas pelo ganho financeiro, mas também pela notoriedade, uma vez que não cobre seus rastros. Ela expandiu suas operações para atingir diversas entidades em todo o mundo. Lapsus$ anunciou férias de hackear grandes empresas até 30 de março.