O nome curioso LAPSUS$ moldadas grandes manchetes em março de 2022 como o apelido de uma gangue de hackers, ou, em palavras simples, como o rótulo de um notório e ativo coletivo de cibercriminosos:
O nome era um tanto incomum para uma equipe de cibercrime, que comumente adota apelidos que soam ousados e destrutivos, como PARAFUSO, satã, Darkside e REVIL.
Como mencionamos em março, no entanto, caducar é uma palavra latina moderna tão boa quanto qualquer outra para “violação de dados”, e o cifrão à direita significa valor financeiro e programação, sendo a maneira tradicional de denotar que a variável BASIC é uma string de texto, não um número.
A gangue, a equipe, a equipe, a posse, o coletivo, o bando, chame como quiser, dos invasores aparentemente apresentavam um tipo semelhante de ambiguidade em sua cibercriminalidade.
Às vezes, eles pareciam mostrar que levavam a sério extorquir dinheiro ou roubar criptomoedas de suas vítimas, mas em outros momentos pareciam simplesmente estar se exibindo.
A Microsoft admitiu na época que havia sido infiltrado por LAPSUS$, embora a gigante do software se referisse ao grupo como DEV-5037, com os criminosos aparentemente roubando gigabytes de código-fonte.
Okta, um provedor de serviços 2FA, foi outra vítima de alto perfil, onde os hackers adquiriram acesso RDP ao computador de um técnico de suporte e, portanto, puderam acessar uma ampla gama de sistemas internos da Okta como se estivessem logados diretamente na própria rede da Okta .
Esse técnico de suporte não funcionou para a Okta, mas para uma empresa contratada pela Okta, de modo que os invasores foram capazes de violar a rede da Okta sem violar a própria Okta.
Curiosamente, embora a violação da Okta tenha ocorrido em janeiro de 2022, nem a Okta nem seu contratante fizeram qualquer admissão pública da violação por cerca de dois meses, enquanto um exame forense aconteceu…
…até que a LAPSUS$ aparentemente decidiu antecipar qualquer anúncio oficial da despejando capturas de tela para “provar” a violação, ironicamente no mesmo dia em que Okta recebeu o laudo pericial final do empreiteiro (não se sabe como, ou se, o LAPSUS$ foi avisado com antecedência da entrega do laudo):
O próximo na lista de ataques foi o fornecedor de chips gráficos Nvidia, que aparentemente também sofreu um roubo de dados, seguido por um dos demandas de extorsão de ransomware-com-a-diferença mais estranhas no registro – código aberto do seu driver gráfico, ou então:
Como dissemos no podcast Naked Security (T3 Ep73):
Normalmente, a conexão entre criptomoeda e ransomware é a figura dos bandidos: “Vá e compre alguma criptomoeda e envie para nós, e vamos descriptografar todos os seus arquivos e/ou excluir seus dados”. […]
Mas, neste caso, a conexão com a criptomoeda foi que eles disseram: “Vamos esquecer tudo sobre a enorme quantidade de dados que roubamos se você abrir suas placas gráficas para que elas possam criptominá-las com força total”.
Porque isso remonta a uma mudança que a Nvidia fez no ano passado [2021], que era muito popular entre os jogadores [desencorajando os criptomineradores de comprar todas as GPUs Nvidia no mercado para fins não gráficos].
Um tipo diferente de cibercriminoso?
Apesar de todas as atividades online atribuídas ao LAPSUS$ terem sido sérias e descaradamente criminosas, o comportamento pós-exploração do grupo muitas vezes parecia bastante antiquado.
Ao contrário dos invasores de ransomware multimilionários de hoje, cujas principais motivações são dinheiro, dinheiro e mais dinheiro, o LAPSUS$ aparentemente se alinhou mais de perto com a cena de criação de vírus do final dos anos 1980 e 1990, onde os ataques eram comumente conduzidos simplesmente para se gabar e “para o luz”.
(A frase para o lulz traduz aproximadamente como a fim de provocar o riso insultantemente alegre, com base na sigla LOL, abreviação de “rindo alto”.)
Então, quando a polícia da cidade de Londres anunciou, apenas dois dias depois que as capturas de tela não tão alegres do ataque Okta apareceram, que havia preso o que parecia um bando heterogêneo de jovens no Reino Unido por supostamente serem membros de um grupo de hackers…
…a mídia de TI do mundo rapidamente fez uma conexão com o LAPSUS$:
Até onde sabemos, as autoridades do Reino Unido nunca usaram a palavra LAPSUS$ em conexão com os suspeitos dessa prisão, observando em março de 2022 simplesmente que “nossas investigações continuam em andamento.”
No entanto, uma aparente ligação com LAPSUS$ foi inferida pelo fato de que um dos jovens presos teria 17 anos e era natural de Oxfordshire, na Inglaterra.
Fascinantemente, um hacker daquela idade que supostamente morava em uma cidade nos arredores de Oxford, a cidade da qual o condado vizinho recebeu seu nome, havia sido descoberto por um rival insatisfeito do cibercrime há pouco tempo, no que é conhecido como doxxing.
Doxxing é onde um cibercriminoso libera documentos e detalhes pessoais roubados de propósito, muitas vezes para colocar um indivíduo em risco de prisão pela aplicação da lei ou em risco de represália por oponentes mal informados ou mal-informados.
O doxxer vazou o que ele alegou ser o endereço residencial de seu rival, juntamente com detalhes pessoais e fotos dele e de familiares próximos, além de várias alegações de que ele era algum tipo de peça chave na equipe do LAPSUS$.
LAPUS$ de volta aos holofotes
Como você pode imaginar, a recente Histórias de hackers Uber reviveu o nome LAPSUS$, uma vez que o atacante nesse caso foi amplamente alegado ter 18 anos e aparentemente só estava interessado em se exibir:
Como Chester Wisniewski explicou em um recente minisódio de podcast:
[N]este caso, […] parece ser “para o lulz”. […A] pessoa que fez isso estava coletando troféus enquanto eles saltavam pela rede – na forma de capturas de tela de todas as [as] diferentes ferramentas e utilitários e programas que estavam em uso em torno do Uber – e publicando-os publicamente, eu acho para o crédito de rua.
Logo após o hack do Uber, quase uma hora do que pareciam ser videoclipes do próximo jogo GTA6, aparentemente capturas de tela feitas para fins de depuração e teste, vazaram após uma intrusão nos jogos da Rockstar.
Mais uma vez, o mesmo jovem hacker, com a mesma suposta conexão com o LAPSUS$, foi implicado no ataque.
Desta vez, relata sugerir que o hacker tinha mais em mente do que apenas se gabar, alegadamente dizendo que eles eram “procurando negociar um acordo”.
Então, quando a polícia da cidade de Londres twittou no início desta semana que eles “prendeu um jovem de 17 anos em Oxfordshire por suspeita de hacking”...
Na noite de quinta-feira, 22 de setembro de 2022, a polícia da cidade de Londres prendeu um jovem de 17 anos em Oxfordshire por suspeita de hacking, como parte de uma investigação apoiada pelo @NCA_UKUnidade Nacional de Crimes Cibernéticos (NCCU).
Ele permanece sob custódia policial. pic.twitter.com/Zfa3OlDR6J
— Polícia da Cidade de Londres (@CityPolice) 23 de Setembro de 2022
…você pode imaginar a que conclusões a Twittersfera chegou rapidamente.
Deve ser a mesma pessoa!
Afinal, qual é a chance de estarmos falando de dois suspeitos diferentes e desconectados aqui?
A única coisa que não sabemos é onde o apelido LAPSUS$ entra nisso, se é que está realmente envolvido.
Oh, que teia emaranhada tecemos / Quando primeiro praticamos para enganar.
APRENDA A EVITAR ATAQUES AO ESTILO LAPSUS$
Clique e arraste nas ondas sonoras abaixo para pular para qualquer ponto. Você também pode ouça diretamente no Soundcloud.