O grupo LAPSUS$, supostamente formado por adolescentes, apareceu repentinamente na cena cibernética no final do ano passado. Tornou-se um dos grupos de ransomware online mais conhecidos e notórios depois de se infiltrar com sucesso em grandes corporações como Microsoft, Samsung, Ubisoft e Okta.
Claire Tills, engenheira de pesquisa sênior da Tenable, obteve uma visão profunda das operações do grupo LAPSUS$. Ele descobriu que, embora as táticas do grupo sejam ousadas, ilógicas e mal pensadas, elas foram bem-sucedidas em interromper grandes empresas internacionais de tecnologia. Este é um lembrete preocupante de que nenhuma empresa está realmente protegida contra ataques cibernéticos, pois empresas grandes e pequenas se tornaram um alvo justo para os invasores.
Lapsus$: roubo de dados e extorsão
Ao contrário dos operadores de ransomware, o LAPSUS$ representa um grupo crescente de criminosos cibernéticos focados exclusivamente em roubo de dados e extorsão. Eles obtêm acesso às vítimas por meio de métodos comprovados, como phishing, e roubam os dados mais confidenciais que podem encontrar sem usar malware de criptografia de dados. O grupo ganhou destaque quando lançou um ataque à Nvidia no final de fevereiro. Com este ataque, o LAPSUS$ entrou no cenário mundial pela primeira vez e iniciou um breve ataque de grandes empresas de tecnologia.
Ao contrário de outros grupos de ameaças, o LAPSUS$ opera exclusivamente por meio de um grupo privado do Telegram e não opera um site de vazamento da dark web. Por meio do Telegram, o grupo anuncia suas vítimas e costuma pedir sugestões à comunidade sobre quais dados da empresa divulgar a seguir. Em comparação com os sites polidos e padronizados de grupos de ransomware (como AvosLocker, LockBit 2.0, Conti, etc.), essas práticas parecem desorganizadas e imaturas.
Ataques DDoS e vulnerabilidades de segurança
🔎 Visão geral dos ataques LAPSUS$ (Imagem: Tenable)
Atacando recentemente uma série de alvos de alto perfil, o grupo LAPSUS$ tornou-se conhecido por suas táticas não convencionais e métodos imprevisíveis. Os primeiros ataques incluíram negação de serviço distribuído (DDoS) e vandalismo de sites. Mas já em 21 de janeiro, o grupo LAPSUS$ estava envolvido na violação de vários estágios que acabou levando ao incidente Okta. Durante esse amadurecimento, o grupo se baseou fortemente em táticas clássicas, como comprar despejos de credenciais, helpdesks de engenharia social e enviar desafios de autenticação multifator (MFA) para obter acesso inicial às empresas-alvo.
"Assim como o ransomware, os ataques de extorsão nunca terminarão, a menos que se tornem muito complicados ou muito caros", disse Claire Tills, engenheira de pesquisa sênior da Tenable. “As organizações devem considerar quais defesas elas têm contra as táticas usadas, como elas podem ser fortalecidas e se seus planos de resposta tratam efetivamente desses incidentes. Embora seja fácil subestimar grupos de ameaças como o LAPSUS$, sua interrupção nas principais empresas internacionais de tecnologia nos lembra que até mesmo táticas simples podem ter sérias repercussões.”
Mais em Tenable.com
Sobre a Tenable A Tenable é uma empresa de Cyber Exposure. Mais de 24.000 empresas em todo o mundo confiam na Tenable para entender e reduzir o risco cibernético. Os inventores do Nessus combinaram sua experiência em vulnerabilidade no Tenable.io, oferecendo a primeira plataforma do setor que fornece visibilidade em tempo real e protege qualquer ativo em qualquer plataforma de computação. A base de clientes da Tenable inclui 53% da Fortune 500, 29% da Global 2000 e grandes agências governamentais.