março 04, 2022

[Segurança] O grupo Lapsus$

Acho interessante escrever um post sobre o grupo hacker Lapsus (ou Lapsus$, ou Lapsus Group), um dos mais ativos recentemente, que conseguiu realizar ataques de extorsão e vazamento de dados em diversas empresas no Brasil e no mundo.

Aqui no Brasil, o grupo ficou famoso após realizar um grande ciber ataque contra o Ministério da Saúde no final do ano passado, quando tirou do ar o site do ministério, de outros órgãos de governo e o aplicativo ConecteSUS, impedindo o acesso a comprovantes de vacinação e outros registros do Sistema Único de Saúde (SUS), causando impacto até menos no registro oficial de casos de COVID no país. A plataforma ConecteSUS voltou a funcionar apenas 13 dias depois do ataque.


Outro ataque famoso, recente, foi contra as cadeias de varejo Americanas e Submarino. Os sites de comércio eletrônico das duas marcas ficaram inoperantes e, após voltarem ao ar no mesmo dia, sofreram um novo ataque que, supostamente, impactou o ambiente PCI da empresa. Os sites da Americanas, Submarino e Shoptime foram retirados do ar, com uma mensagem informando que, "por questões de segurança, suspendeu proativamente parte dos servidores do ambiente de e-commerce". Estima-se que a Americanas estava perdendo R$ 100 milhões por dia com a paralização de seu site e aplicativo. Segundo estimativas, a Americanas perdeu mais de R$ 2 bilhões em valor de mercado devido ao incidente. A empresa reestabeleceu seus sistemas e o e-comemrce após 4 dias.

Em Portugal, o grupo também realizou diversos ataques, e um dos mais relevantes foi contra a operadora de telefonia Vodafone, que afetou mais de 4 milhões de clientes. O Lapsus também atacou o grupo Impresa, responsável pelo jornal Expresso e pela rede de TV SIC, e conseguiram enviar e-mail e mensagens de SMS para os assinantes do jornal Expresso.

Possivelmente o primeiro ataque deles a alvos conhecidos aconteceu em Julho de 2021 contra a Electronic Arts (EA), quando foram publicados posts em alguns fóruns underground (como o RaidForums) anunciando o ataque. O texto do post em questão estava assinado como LAPSUS, mas essa atribuição não é feita com certeza por este não ser o canal utilizado por eles, no Telegram.

A lista de vítimas do grupo é grande, e inclui as seguintes empresas:
(*) O ataque da Cisco em agosto de 2022, embora tenha sido atribuído ao grupo de ransomware Yanluowang, também foi creditada a participação do Lapsu$.

Em janeiro deste ano o grupo publicou um arquivo de 835MB com informações sensíveis do presidente do Brasil e de membros de sua família, incluindo números de documentos, informações bancárias (com detalhes que incluem valores monetários), informações de parentesco e de bens móveis e imóveis.

Um de seus ataques mais recentes aconteceu em 26/02, quando anunciaram a invasão dos sistemas da fabricante de chips Nvidia. Em seu canal do Telegram, o grupo publicou dois arquivos com credenciais de funcionários da Nvidia e alegou ter roubado 1 TB de informações. Segundo o post do grupo, a motivação é criticar o recurso LHR (lite hast rate), que impede seu uso para mineração de criptomoedas nas placas da empresa - e ameaçam publicar os códigos das placas de vídeo GeForce RTX 30. A Nvidia confirmou a invasão e o vazamento de dados de seus funcionários e de informações proprietárias. O aspecto mais interessante desta história foi que os membros do Lapsus$ acusaram a NVIDIA de ter tentado infectá-los com um ransomware, em uma retaliação ao seu ciber ataque a empresa.


Outros ataques recentes e que chamaram a atenção da imprensa foi a invasão e roubo de dados da Okta e da Microsoft, anunciado em 21/03. No caso da Microsoft, os atacantes conseguiram obter e vazar o código-fonte do Cortana e do Bing. Em setembro, um jovem inglês de 17 anos (que usa os apelidos Michael, LegacyKillaHD e Lily Howarth) foi preso suspeito de ter atacado a Uber e a empresa de games Rockstar, de onde roubou e vazou o código fonte do novo game GTA VI (Grand Theft Auto VI)

Apesar de algumas notícias identificarem o Lapsus$ como um grupo de ransomware, é interessante notar que eles fazem um tipo de extorsão diferente. Normalmente suas invasões não utilizam malwares do tipo ransomware, e eles costumam vazar dados das vítimas e realizar defacement nos seus sites sem, necessariamente, exigir dinheiro em troca. Em alguns casos, após a divulgação do ataque eles exigiram dinheiro para não vazar as informações roubadas ou propõem vendê-las para quem quiser comprar esses dados. Mas, isso tudo seguindo um modus operandi bem diferente dos operadores tradicionais de ransomware.


Eu me arrisco a dizer que a especialidade deles é invadir empresas através de contas internas comprometidas, utilizando a estrutura de acesso remoto existente. E, após a invasão, eles focam em roubar dados e obter provas de seu acesso (como através de screenshots de telas de ferramentas internas), para posterior divulgação e eventual chantagem. A extorsão não é o foco principal dos ataques, e acontece apenas eventualmente.

Normalmente o grupo anuncia seus ataques e divulga os dados roubados através de um canal no Telegram - aonde certamente você poderá encontrar 100% dos profissionais de Threat Intel do mercado e muita gente de forças policiais. Acredita-se que o principal vetor de ataques do Lapsus é através de credenciais internas para ganhar acesso remoto a rede da vítima, obtidas pelo envio de mensagens de Phising, uso de credenciais identificadas em vazamentos e, eventualmente, aliciando funcionários internos com a promessa de grandes ganhos financeiros. Um post do grupo no Telegram, oferecendo para comprar acesso a redes corporativas, viralizou entre os grupos de profissionais de segurança.


Especula-se que o grupo seja formado por pessoas do Reino Unido, Brasil, Espanha e Colômbia. A grande quantidade de alvos no Brasil e Portugal fazem acreditar que elo menos um dos integrantes deve ser desses países. Acredita-se que seu líder é um adolescente entre 16 e 17 anos de idade vivendo em Oxfordshire, na Inglaterra, que usa os apelidos Michael, LegacyKillaHD e Lily Howarth. O suspeito já sofreu um suposto doxxing ao ter suas informações pessoais publicadas no site Doxbin em 08 de janeiro deste ano. Os membros do Lapsus$ usam nicks como "White", "breachbase","Oklaqq" e "WhiteDoxbin".


Coincidentemente ou não, após o recente ataque à Okta e à Microsoft começaram a surgir relatórios de inteligência descrevendo o grupo. A própria Microsoft publicou um relatório em 22/03, aonde batizou o grupo de DEV-0537. Veja alguns trechos que achei interessante destacar do relatório da Microsoft:
  • DEV-0537 is known for using a pure extortion and destruction model without deploying ransomware payloads.
  • DEV-0537 started targeting organizations in the United Kingdom and South America but expanded to global targets, including organizations in government, technology, telecom, media, retail, and healthcare sectors.
  • DEV-0537 is also known to take over individual user accounts at cryptocurrency exchanges to drain cryptocurrency holdings.
  • DEV-0537 doesn’t seem to cover its tracks. They go as far as announcing their attacks on social media or advertising their intent to buy credentials from employees of target organizations.
  • Their tactics include phone-based social engineering; SIM-swapping to facilitate account takeover; accessing personal email accounts of employees at target organizations; paying employees, suppliers, or business partners of target organizations for access to credentials and multifactor authentication (MFA) approval; and intruding in the ongoing crisis-communication calls of their targets.
  • Microsoft Threat Intelligence Center (MSTIC) assesses that the objective of DEV-0537 is to gain elevated access through stolen credentials that enable data theft and destructive attacks against a targeted organization, often resulting in extortion.
  • Tactics and objectives indicate this is a cybercriminal actor motivated by theft and destruction.
  • They have been consistently observed to use AD Explorer, a publicly available tool, to enumerate all users and groups in the said network.
  • DEV-0537 is also known to exploit vulnerabilities in Confluence, JIRA, and GitLab for privilege escalation.
O pesquisador de segurança Michael Koczwara publicou uma lista com os TTPs (Técnicas, ferramentas e procedimentos) normalmente adotados pelo Lapsus$ nesse artigo: LAPSUS$ TTP’s. A grosso modo, o modus operandi deles costuma ser o seguinte:
  1. Obter senha de acesso ao ambiente da vítima por meio de bancos de dados de login adquiridos ou publicamente acessíveis, roubo de senha ou pagar funcionários por seus dados de acesso;
  2. Conseguir acesso remoto através de aplicativos de VPNs ou desktops virtuais (RDP);
  3. Se necessário, fazem o bypass de mecanismos de autenticação multifator (por exemplo, entrando em contato com o suporte técnico);
  4. Conseguir elevação de privilégios explorando vulnerabilidades não corrigidas no Jira, GitLab e Confluence;
  5. Obter contas de administrador de domínio e dos ambientes em nuvem;
  6. Buscar, obter e roubar dados via NordVPN ou serviços gratuitos de drives de arquivos;
  7. Acesso aos ambientes de nuvem da vítima para obter mais informações e, até mesmo, destruir parte do ambiente;
  8. Anunciar o ataque em seu canal no Telegram.
No final de março deste ano, sete jovens entre 16 e 21 anos foram presos no Reino Unido por suspeita de fazer parte do Lapsus$. Dentre os detidos pela polícia de Londres em 24/03, estava o suposto líder, que usa os nomes "White" e "Breachbase". Segundo a polícia, o responsável pelo grupo havia acumulado uma fortuna de aproximadamente US$ 14 milhões (300 BTC) graças as suas atividades ciber criminosas nos últimos anos. Dois deles, de 16 e 17 anos, foram incriminados ​​em 1º de abril, mas liberados sob fiança. (texto retirado do Olhar Digital)

Em 19/10/2022 a Polícia Federal anunciou a prisão de um brasileiro, em Feira de Santana (BA), suspeito de integrar o LAPSU$. Os detalhes sobre a prisão e sobre a pessoa suspeita não foram divulgados.

Em julho de 2023 as autoridades britânicas divulgaram que o nome de um dos líderes do LAPSUS$, que está sob julgamento: chama-se Arion Kurtaj e é um dos acusados de estar por trás dos ciberataques contra a Uber, Revolut e a Rockstar Games.

Em 23 de agosto de 2023 o tribunal de Southwark Crown Court, em Londres, considerou dois adolescentes do grupo Lapsus$ culpados de participar da onda de ciberataques promovidos pelo grupo. O julgamento durou sete semanas e os adolescentes serão sentenciados posteriormente pelo juiz do caso. Arion Kurtaj, jovem de 18 anos da cidade de Oxford, foi considerado um membro-chave do grupo Lapsus$. O segundo réu, de 17 anos, não foi identificado por motivos legais, por ser menor de idade. Ambos os réus foram inicialmente presos em 22 de janeiro de 2022 e depois libertados sob investigação, até que foram presos novamente em 31 de março de 2022. Kurtaj é acusado de 12 crimes, incluindo seis acusações de acordo com a lei inglesa Computer Misuse Act, três acusações de chantagem e duas de fraude. O outro jovem é acusado de duas acusações de chantagem, duas acusações de fraude e três sob a Computer Misuse Act. Arion Kurtaj permanece sob custódia e o réu de 17 anos continua sob fiança enquanto aguardam a definição da sentença. 

Em 21 de dezembro de 2023 Arion Kurtaj foi condenado a uma detenção hospitalar por tempo indeterminado. Kurtaj, que tem 18 anos e autismo grave, foi considerado inapto para ser julgado por psiquiatras. Ele permanecerá em um hospital seguro pelo resto da vida, a menos que os médicos considerem que ele não representa mais um perigo.

Arion Kurtaj

O júri foi informado de que, enquanto ele estava sob fiança por hackear a Nvidia e BT/EE e sob proteção policial em um hotel da rede Travelodge, ele continuou hackeando e executou uma invasão surreal contra a Rockstar Games, empresa responsável pelo jogo Grand Theft Auto (GTA). Apesar de ter seu laptop confiscado, Kurtaj usou um Firestick da Amazon, a TV do hotel e um telefone celular para invadir a Rockstar e roubar 90 clipes do inédito GTA 6. Ele usiou o Slack, sistema interno de mensagens da empresa, para declarar “se a Rockstar não entrar em contato comigo no Telegram dentro de 24 horas começarei a liberar o código-fonte”. Ele então postou os clipes e o código-fonte em um fórum com o nome de usuário TeaPotUberHacker.

Em 24/12, alguns dias após a declaração da condenação de Kurtaj, foi vazado o código-fonte do GTA 5. Links para baixar o código-fonte foram compartilhados em vários canais, incluindo Discord, um site na dark web e um canal Telegram que os hackers usaram anteriormente para vazar dados roubados da Rockstar. O dono do canal de vazamento do Grand Theft Auto no Telegram, conhecido como ‘Phil’, postou links para o código-fonte roubado, compartilhando uma captura de tela que mostra uma das pastas.



Para saber mais:
PS: Pequena atualização em 04, 08, 21 e 22/03. Grande atualização em 24/03. Mais uma notícia incluída em 25/03. Atualizado em 30/03, 01/04, 06 e 30/09. Atualizado em 21/10, 25/11 e 14/12. Pequena inclusão de uma referência em 12/01 e 20/01//2023. Atualizado em 11/07, 24/08 e 26/12.

Nenhum comentário:

Creative Commons License
Disclaimer: The views expressed on this blog are my own and do not necessarily reflect the views of my employee.