março 04, 2022

[Segurança] O grupo Lapsus$

Acho interessante escrever um post sobre o grupo hacker Lapsus (ou Lapsus$, ou Lapsus Group), um dos mais ativos recentemente, que conseguiu realizar ataques de extorsão e vazamento de dados em diversas empresas no Brasil e no mundo.

Aqui no Brasil, o grupo ficou famoso após realizar um grande ciber ataque contra o Ministério da Saúde no final do ano passado, quando tirou do ar o site do ministério, de outros órgãos de governo e o aplicativo ConecteSUS, impedindo o acesso a comprovantes de vacinação e outros registros do Sistema Único de Saúde (SUS), causando impacto até menos no registro oficial de casos de COVID no país. A plataforma ConecteSUS voltou a funcionar apenas 13 dias depois do ataque.


Outro ataque famoso, recente, foi contra as cadeias de varejo Americanas e Submarino. Os sites de comércio eletrônico das duas marcas ficaram inoperantes e, após voltarem ao ar no mesmo dia, sofreram um novo ataque que, supostamente, impactou o ambiente PCI da empresa. Os sites da Americanas, Submarino e Shoptime foram retirados do ar, com uma mensagem informando que, "por questões de segurança, suspendeu proativamente parte dos servidores do ambiente de e-commerce". Estima-se que a Americanas estava perdendo R$ 100 milhões por dia com a paralização de seu site e aplicativo. Segundo estimativas, a Americanas perdeu mais de R$ 2 bilhões em valor de mercado devido ao incidente. A empresa reestabeleceu seus sistemas e o e-comemrce após 4 dias.

Em Portugal, o grupo também realizou diversos ataques, e um dos mais relevantes foi contra a operadora de telefonia Vodafone, que afetou mais de 4 milhões de clientes. O Lapsus também atacou o grupo Impresa, responsável pelo jornal Expresso e pela rede de TV SIC, e conseguiram enviar e-mail e mensagens de SMS para os assinantes do jornal Expresso.

Possivelmente o primeiro ataque deles a alvos conhecidos aconteceu em Julho de 2021 contra a Electronic Arts (EA), quando foram publicados posts em alguns fóruns underground (como o RaidForums) anunciando o ataque. O texto do post em questão estava assinado como LAPSUS, mas essa atribuição não é feita com certeza por este não ser o canal utilizado por eles, no Telegram.

A lista de alvos do grupo é grande, e inclui as seguintes empresas:
Em janeiro deste ano o grupo publicou um arquivo de 835MB com informações sensíveis do presidente do Brasil e de membros de sua família, incluindo números de documentos, informações bancárias (com detalhes que incluem valores monetários), informações de parentesco e de bens móveis e imóveis.

Um de seus ataques mais recentes aconteceu em 26/02, quando anunciaram a invasão dos sistemas da fabricante de chips Nvidia. Em seu canal do Telegram, o grupo publicou dois arquivos com credenciais de funcionários da Nvidia e alegou ter roubado 1 TB de informações. Segundo o post do grupo, a motivação é criticar o recurso LHR (lite hast rate), que impede seu uso para mineração de criptomoedas nas placas da empresa - e ameaçam publicar os códigos das placas de vídeo GeForce RTX 30. A Nvidia confirmou a invasão e o vazamento de dados de seus funcionários e de informações proprietárias. O aspecto mais interessante desta história foi que os membros do Lapsus$ acusaram a NVIDIA de ter tentado infectá-los com um ransomware, em uma retaliação ao seu ciber ataque a empresa.


Outros ataques recentes e que chamaram a atenção da imprensa foi a invasão e roubo de dados da Okta e da Microsoft, anunciado em 21/03. No caso da Microsoft, os atacantes conseguiram obter e vazar o código-fonte do Cortana e do Bing.

Apesar de algumas notícias identificarem o Lapsus$ como um grupo de ransomware, é interessante notar que eles fazem um tipo de extorsão diferente. Normalmente suas invasões não utilizam malwares do tipo ransomware, e eles costumam vazar dados das vítimas e realizar defacement nos seus sites sem, necessariamente, exigir dinheiro em troca. Em alguns casos, após a divulgação do ataque eles exigiram dinheiro para não vazar as informações roubadas ou propõem vendê-las para quem quiser comprar esses dados. Mas, isso tudo seguindo um modus operandi bem diferente dos operadores tradicionais de ransomware.


Eu me arrisco a dizer que a especialidade deles é invadir empresas através de contas internas comprometidas, utilizando a estrutura de acesso remoto existente. E, após a invasão, eles focam em roubar dados e obter provas de seu acesso (como através de screenshots de telas de ferramentas internas), para posterior divulgação e eventual chantagem. A extorsão não é o foco principal dos ataques, e acontece apenas eventualmente.

Normalmente o grupo anuncia seus ataques e divulga os dados roubados através de um canal no Telegram - aonde certamente você poderá encontrar 100% dos profissionais de Threat Intel do mercado e muita gente de forças policiais. Acredita-se que o principal vetor de ataques do Lapsus é através de credenciais internas para ganhar acesso remoto a rede da vítima, obtidas pelo envio de mensagens de Phising, uso de credenciais identificadas em vazamentos e, eventualmente, aliciando funcionários internos com a promessa de grandes ganhos financeiros. Um post do grupo no Telegram, oferecendo para comprar acesso a redes corporativas, viralizou entre os grupos de profissionais de segurança.


Especula-se que o grupo seja formado por pessoas do Reino Unido, Brasil, Espanha e Colômbia. A grande quantidade de alvos no Brasil e Portugal fazem acreditar que elo menos um dos integrantes deve ser desses países. Acredita-se que seu líder é um adolescente de 16 anos de idade vivendo em Oxford, na Inglaterra, que inclusive já sofreu um suposto doxxing ao ter suas informações pessoais publicadas no site Doxbin em 08 de janeiro deste ano. Os membros usam nicks como "White", "breachbase","Oklaqq" e "WhiteDoxbin".


Coincidentemente ou não, após o recente ataque à Okta e à Microsoft começaram a surgir relatórios de inteligência descrevendo o grupo. A própria Microsoft publicou um relatório em 22/03, aonde batizou o grupo de DEV-0537. Veja alguns trechos que achei interessante destacar do relatório da Microsoft:
  • DEV-0537 is known for using a pure extortion and destruction model without deploying ransomware payloads.
  • DEV-0537 started targeting organizations in the United Kingdom and South America but expanded to global targets, including organizations in government, technology, telecom, media, retail, and healthcare sectors.
  • DEV-0537 is also known to take over individual user accounts at cryptocurrency exchanges to drain cryptocurrency holdings.
  • DEV-0537 doesn’t seem to cover its tracks. They go as far as announcing their attacks on social media or advertising their intent to buy credentials from employees of target organizations.
  • Their tactics include phone-based social engineering; SIM-swapping to facilitate account takeover; accessing personal email accounts of employees at target organizations; paying employees, suppliers, or business partners of target organizations for access to credentials and multifactor authentication (MFA) approval; and intruding in the ongoing crisis-communication calls of their targets.
  • Microsoft Threat Intelligence Center (MSTIC) assesses that the objective of DEV-0537 is to gain elevated access through stolen credentials that enable data theft and destructive attacks against a targeted organization, often resulting in extortion.
  • Tactics and objectives indicate this is a cybercriminal actor motivated by theft and destruction.
  • They have been consistently observed to use AD Explorer, a publicly available tool, to enumerate all users and groups in the said network.
  • DEV-0537 is also known to exploit vulnerabilities in Confluence, JIRA, and GitLab for privilege escalation.
O pesquisador de segurança Michael Koczwara publicou uma lista com os TTPs (Técnicas, ferramentas e procedimentos) normalmente adotados pelo Lapsus$ nesse artigo: LAPSUS$ TTP’s

Segundo notícias que surgiram em 24/03, sete adolescentes foram presos pela polícia de Londres por supostamente participarem do grupo Lapsus, incluindo o suposto líder, que usa os nomes "White" e "Breachbase". Segundo a polícia, o responsável pelo grupo havia acumulado uma fortuna de aproximadamente US$ 14 milhões (300 BTC) graças as suas atividades ciber criminosas nos últimos anos.

Para saber mais:
PS: Pequena atualização em 04, 08, 21 e 22/03. Grande atualização em 24/03. Mais uma notícia incluída em 25/03. Atualizado em 30/03 e 01/04.

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.