O grupo Lapsus$ voltou às manchetes esta semana depois de alegar ter roubado e compartilhado alguns dos códigos-fonte do Bing Maps, Bing e Cortana da Microsoft. O grupo já esteve ligado ao ataque ao grupo Impresa em Portugal, mas as grandes empresas de tecnologia parecem agora ser um alvo suspeito.
Mas como o grupo consegue penetrar em empresas de alta segurança sem ser detectado? Aparentemente, a porta dentro das empresas é através de funcionários que compartilham suas credenciais em troca de dinheiro.
Após a notícia de que parte do código-fonte dos serviços da Microsoft havia sido roubado, a empresa disse que investigaria o assunto internamente. A partir desta pesquisa foi possível entender um pouco como o grupo irá atuar para entrar nessas grandes empresas.
Ataque da Microsoft
Segundo a Microsoft, o grupo utiliza a chamada engenharia social para atingir funcionários da empresa ou seus parentes. Quando os alcançam, estão dispostos a pagar por credenciais que funcionam como uma porta de entrada para os negócios.
Nesse caso específico, assim como no ataque Okta, o acesso às informações foi restringido porque apenas uma conta foi invadida.
Por exemplo, foi descoberto em Okta que em janeiro um invasor obteve acesso ao computador de um engenheiro de suporte. Esses computadores têm acesso limitado, afirma a empresa, embora a Lapsus$ tenha respondido, alegando ter acesso a um portal de superusuário com recursos de redefinição de senha e autenticação multifator (MFA) para cerca de 95% dos clientes.
A análise da Microsoft mostra claramente que a empresa descobriu o grupo de hackers, chamado DEV-0537, há muito tempo. O relatório pode ler que:
Eles concentram seus esforços de engenharia social na coleta de informações sobre as operações de seus alvos. Essas informações incluem dados confidenciais sobre funcionários, estruturas de equipe, help desks, fluxos de resposta a crises ou relacionamentos da cadeia de suprimentos. †
Como o Lapsus$ chega às empresas?
Técnicas como essa são usadas “em um modelo puro de extorsão e destruição sem instalação de ransomware”, explica a Microsoft. Afirma-se ainda que “DEV-0537 também é conhecido por acessar contas pessoais de troca de criptomoedas para esgotar seus recursos de criptomoeda”.
Métodos como ligações telefônicas para enganar funcionários também são usados pelo grupo, assim como técnicas de troca de cartões SIM.
A imagem anterior mostra uma mensagem deixada pelo grupo onde fica claro que estão procurando funcionários de empresas como Microsoft, Apple, EA, IBM e outras, para acessar suas credenciais em troca de dinheiro, para ajudar a empresa. †
Eles também não parecem interessados em ficar escondidos, pois revelam os ataques elaborados e, em alguns casos, a porta de entrada.
“Web enthusiast. Communicator. Annoyingly humble beer ninja. Typical social media evangelist. alcohol aficionado”