Microsoft i Okta potwierdzają atak hakerski przeprowadzony przez grupę LAPSUS$.
Grupa hakerska LAPSUS$, nazywana przez firmę Microsoft jako DEV-0537, wyrobiła sobie „markę” w środowisku cyberprzestępczym, po serii skutecznych cyberataków na szereg różnych podmiotów. W ciągu zaledwie kilku dni Lapsus$ ujawnił, że ukradł dane znanym organizacjom, w tym Microsoftowi i Okta. Ataki rozszerzyły się na cele globalne, w tym organizacje z sektora rządowego, technologicznego, telekomunikacyjnego, mediów, handlu detalicznego i opieki zdrowotnej. Grupa DEV-0537 jest również znana z tego, że przejmuje indywidualne konta użytkowników na giełdach kryptowalut, w celu kradzieży zwartości portfeli.
Wydaje się, że celem przeprowadzonej przez Lapsus$ kampanii było domaganie się zapłaty wysokiego okupu, w tym groźby wycieku skradzionych informacji, jeśli żądania nie zostaną spełnione. Chociaż ta taktyka jest dość powszechnie stosowana przez gangi ransomware, jako dodatkowa argumentacja zmuszająca ofiary do zapłacenia okupu za klucz deszyfrujący. Jednak w przypadku tego ataku nie ma oznak, że oprogramowanie ransomware jest częścią ataków, ponieważ żadne dane nie zostały zaszyfrowane. To nie znaczy, że ataki te są zupełnie nieszkodliwe: notatka Microsoft Security z 22.03.2022, wskazuje, że istnieją dowody na destrukcyjny element przeprowadzonych ataków, które nie zawierają żądań zapłaty okupu.
Jedną z największych ofiar w tym incydencie jest dostawca usług zarządzania tożsamością i dostępem w przedsiębiorstwie, Okta. Z opublikowanych przez Okta informacji, wynika, że cyberprzestępcy uzyskali dostęp do informacji około 2,5% klientów Okta.
Okta ujawniła naruszenie bezpieczeństwa 22 marca, natomiast pierwsza próba ataku miała miejsce już w styczniu tego roku. Grupa Lapsus$ twierdzi, że uzyskała dostęp do laptopa inżyniera pomocy technicznej, publikując na dowód zrzuty ekranu. Okta twierdzi, że laptop należał do inżyniera pomocy technicznej pracującego dla zewnętrznego dostawcy i że sama firma Okta nie została skompromitowana. Mimo wszystko Okta, skontaktowała się z podmiotami dotkniętymi atakiem w celu poinformowania ich o incydencie. Microsoft również potwierdził, że został skompromitowany przez grupę Lapsus$. Chociaż firma twierdzi, że atakujący uzyskali jedynie ograniczony dostęp, natomiast hakerzy opublikowali na torrentach plik, który jak twierdzą zawiera kod źródłowy Bing, Bing Maps i Cortana.
Jedną z pierwszych ofiar Lapsus$ było brazylijskie Ministerstwo Zdrowia, które odnotowało kradzież i usunięcie ze swoich systemów 50 TB danych, między innymi dane dotyczące pandemii COVID-19: przypadki, zgony, szczepienia. Minął ponad miesiąc, zanim systemy znowu zaczęły działać. Inne ofiary ataków Lapsus$ w ostatnich miesiącach to wiele firm z branży technologii i gier. W lutym Nvidia padła ofiarą incydentu cyberbezpieczeństwa, który został przypisany firmie Lapsus$. Grupa twierdzi, że ukradła ponad 1 TB danych od producenta mikroprocesorów, w tym hasła pracowników. Kolejną głośną ofiarą Lapsus$ był Samsung, który potwierdził, że podczas ataku doszło do naruszenia danych, w tym kodu źródłowego dotyczącego smartfonów Samsung Galaxy. Samsung twierdzi, że podczas ataku nie skradziono żadnych danych osobowych. Niewiele wiadomo o samej grupie Lapsus$, poza tym, że jest to gang cyberprzestępczy – przypuszczalnie działający poza Ameryką Południową – który włamuje się do sieci dużych organizacji w celu kradzieży danych i wyłudzania płatności.
W przeciwieństwie do gangów ransomware, które wykorzystują sieć Darknet do publikowania skradzionych danych, Lapsus$ używa kanału w Telegram’ie do udostępniania informacji o swoich atakach – oraz informacji skradzionych swoim ofiarom – bezpośrednio z każdym, kto ich subskrybuje. Ich taktyka obejmuje socjotechnikę opartą na zamianie kart SIM w celu ułatwienia przejęcia konta, dostęp do osobistych kont e-mail pracowników, płacenie pracownikom, dostawcom lub partnerom biznesowym organizacji docelowych za dostęp do danych uwierzytelniających i zatwierdzanie uwierzytelniania wieloskładnikowego (MFA). Socjotechnika i taktyki skoncentrowane na tożsamości wykorzystywane przez DEV-0537 wymagają procesów wykrywania i reagowania, które są podobne do programów związanych z ryzykiem wewnętrznym, ale obejmują również krótkie czasy reakcji potrzebne do radzenia sobie ze złośliwymi zagrożeniami zewnętrznymi.
Lapsus$ wykorzystuje również swój publiczny kanał Telegram do publikowania wiadomości, zachęcając przy tym swoich, potencjalnych złośliwych insiderów do oferowania wirtualnej sieci prywatnej (VPN), infrastruktury wirtualnego pulpitu (VDI) lub danych uwierzytelniających Citrix w zamian za nieokreśloną płatność w nieujawnionej walucie.