A Microsoft e a plataforma de gerenciamento de identidade Okta divulgaram esta semana violações envolvendo o LAPSUS$, um grupo de crimes cibernéticos relativamente novo especializado em roubar dados de grandes empresas e ameaçar publicá-los a menos que um pedido de resgate seja pago. Aqui está uma análise mais detalhada do LAPSUS$ e alguns dos métodos de baixa tecnologia, mas de alto impacto, que o grupo usa para obter acesso às organizações.
Surgindo pela primeira vez em dezembro de 2021 com uma demanda de extorsão no Ministério da Saúde do Brasil, LAPSUS$ ganhou as manchetes mais recentemente por postar capturas de tela de ferramentas internas vinculadas a várias grandes corporações, incluindo NVIDIA, Samsung e Vodafone.
Na terça-feira, o LAPSUS$ anunciou por meio de seu canal Telegram que estava liberando o código-fonte roubado da Microsoft. Em um post de blog publicado em 22 de março, a Microsoft disse que interrompeu o download do código-fonte do grupo LAPSUS$ antes que pudesse terminar, e que foi capaz de fazê-lo porque o LAPSUS$ discutiu publicamente seu acesso ilícito em seu canal Telegram antes que o download pudesse ser concluído. .
Um dos membros do grupo LAPSUS$ admitiu em seu canal Telegram que o download do código-fonte da Microsoft havia sido interrompido.
“Essa divulgação pública aumentou nossa ação, permitindo que nossa equipe interviesse e interrompesse o ator no meio da operação, limitando o impacto mais amplo”, escreveu a Microsoft. “Nenhum código ou dado de cliente foi envolvido nas atividades observadas. Nossa investigação descobriu que uma única conta foi comprometida, concedendo acesso limitado. A Microsoft não confia no sigilo do código como medida de segurança e a visualização do código-fonte não leva à elevação do risco.”
Embora possa ser tentador descartar o LAPSUS$ como um grupo imaturo e em busca de fama, suas táticas devem fazer qualquer um responsável pela segurança corporativa se sentar e prestar atenção. A Microsoft diz que o LAPSUS$ – que chama de “DEV-0537” – principalmente obtém acesso ilícito a alvos por meio de “engenharia social”. Isso envolve subornar ou enganar funcionários da organização-alvo ou de seus inúmeros parceiros, como call centers de suporte ao cliente e help desks.
“A Microsoft encontrou casos em que o grupo obteve acesso com sucesso a organizações-alvo por meio de funcionários recrutados (ou funcionários de seus fornecedores ou parceiros de negócios)”, escreveu a Microsoft. A postagem continua:
“O DEV-0537 anunciou que queria comprar credenciais para seus alvos para atrair funcionários ou contratados para participar de sua operação. Por uma taxa, o cúmplice disposto deve fornecer suas credenciais e aprovar o prompt de MFA ou fazer com que o usuário instale o AnyDesk ou outro software de gerenciamento remoto em uma estação de trabalho corporativa, permitindo que o agente assuma o controle de um sistema autenticado. Essa tática foi apenas uma das maneiras pelas quais o DEV-0537 aproveitou o acesso de segurança e as relações comerciais que suas organizações-alvo têm com seus provedores de serviços e cadeias de suprimentos.”
O canal LAPSUS$ Telegram cresceu para mais de 45.000 assinantes, e a Microsoft aponta para um anúncio que LAPSUS$ postou lá oferecendo o recrutamento de pessoas de dentro das principais operadoras de telefonia móvel, grandes empresas de software e jogos, empresas de hospedagem e call centers.
Fontes dizem ao KrebsOnSecurity que o LAPSUS$ está recrutando insiders por meio de várias plataformas de mídia social desde pelo menos novembro de 2021. Um dos principais membros do LAPSUS$ que usava os apelidos “Oklaqq” e “WhiteDoxbin” postou mensagens de recrutamento no Reddit no ano passado, oferecendo funcionários em AT&T, T-Mobile e Verizon até US$ 20.000 por semana para realizar “trabalhos internos”
O líder do LAPSUS$, Oklaqq, também conhecido como “WhiteDoxbin”, oferecendo pagar US$ 20.000 por semana a funcionários corruptos das principais operadoras de telefonia móvel.
Muitos dos anúncios de recrutamento da LAPSUS$ são escritos em inglês e português. De acordo com a empresa de inteligência cibernética Flashpoint, a maior parte das vítimas do grupo (15 delas) está na América Latina e em Portugal.
“Atualmente, o LAPSUS$ não opera um site de vazamento de clearnet ou darknet ou contas de mídia social tradicionais – opera apenas via Telegram e e-mail”, escreveu Flashpoint em uma análise do grupo.
“LAPSUS$ parece ser altamente sofisticado, realizando violações de dados cada vez mais importantes. O grupo alegou que não é patrocinado pelo Estado. Os indivíduos por trás do grupo provavelmente são experientes e demonstraram profundo conhecimento e habilidades técnicas.”
A Microsoft disse que o LAPSUS$ é conhecido por direcionar as contas de e-mail pessoais de funcionários em organizações que desejam invadir, sabendo que a maioria dos funcionários hoje em dia usa algum tipo de VPN para acessar remotamente a rede de seus empregadores.
“Em alguns casos, o [LAPSUS$] primeiro alvejou e comprometeu as contas pessoais ou privadas de um indivíduo (não relacionadas ao trabalho), dando-lhes acesso para, em seguida, procurar credenciais adicionais que poderiam ser usadas para obter acesso a sistemas corporativos”, escreveu a Microsoft. “Dado que os funcionários normalmente usam essas contas ou números pessoais como autenticação de segundo fator ou recuperação de senha, o grupo costumava usar esse acesso para redefinir senhas e concluir ações de recuperação de conta.”
Em outros casos, disse a Microsoft, o LAPSUS$ foi visto ligando para o suporte técnico de uma organização-alvo e tentando convencer o pessoal de suporte a redefinir as credenciais de uma conta privilegiada.
“O grupo usou as informações coletadas anteriormente (por exemplo, fotos de perfil) e fez com que um chamador nativo do inglês falasse com o pessoal do suporte técnico para aprimorar sua atração de engenharia social”, explicou a Microsoft. “As ações observadas incluíram o DEV-0537 respondendo a solicitações comuns de recuperação, como “primeira rua em que você morou” ou “nome de solteira da mãe” para convencer o pessoal do suporte técnico da autenticidade. Como muitas organizações terceirizam seu suporte de suporte técnico, essa tática tenta explorar esses relacionamentos da cadeia de suprimentos, especialmente quando as organizações dão ao seu pessoal de suporte técnico a capacidade de elevar privilégios.”
Retirado e traduzido do site KrebsOnSecurity
