O governo dos EUA divulgou um relatório depois de analisar técnicas simples, como a troca de SIM, usadas pelo grupo de extorsão Lapsus$ para violar dezenas de organizações com uma postura de segurança forte.
A revisão das operações do grupo começou em dezembro do último ano, após um longo rastro de incidentes atribuídos ou assumidos pelo Lapsus$ após vazamento de dados proprietários das supostas vítimas.
Dentre as companhias de alto perfil impactadas pelo Lapsus$ estão Microsoft, Cisco, Okta, Nvidia, T-Mobile, Samsung, Uber, Vodafone, Ubisoft e Globant.
Lapsus$ é descrito como um grupo pouco organizado, formado principalmente por adolescentes, com integrantes no Reino Unido e no Brasil, que agiam entre 2021 e 2022 por notoriedade, ganho financeiro ou diversão.
No entanto, eles também combinaram técnicas de várias complexidades com "lampejos de criatividade".
O Cyber Safety Review Board (CSRB) do Departamento de Segurança Interna (DHS) finalizou sua análise e descreveu as táticas e técnicas do grupo em um relatório que também inclui recomendações para a indústria.
O grupo usava a troca de SIM para obter acesso à rede interna de uma empresa alvo e roubar informações confidenciais, como código-fonte, detalhes sobre tecnologia proprietária ou documentos relacionados a negócios e clientes.
Em um ataque de troca de SIM, o ator da ameaça rouba o número de telefone da vítima, transferindo-o para um cartão SIM de sua propriedade.
O truque depende de engenharia social ou de um insider na operadora de telefonia móvel da vítima.
Com controle sobre o número de telefone da vítima, o invasor pode receber códigos efêmeros baseados em SMS para autenticação de dois fatores (2FA) necessários para fazer login em vários serviços empresariais ou violar redes corporativas.
No caso do Lapsus$, algumas das trocas fraudulentas de SIM foram realizadas diretamente das ferramentas de gerenciamento de clientes do provedor de telecomunicações, após a invasão de contas pertencentes a funcionários e prestadores de serviços.
Para obter informações confidenciais sobre a vítima (nome, número de telefone, informações de rede proprietárias do cliente), os membros do grupo às vezes usavam solicitações fraudulentas de divulgação de emergência (EDRs).
Um invasor pode criar uma falsa EDR, se passando por um solicitante legítimo, como um agente da lei, ou aplicando logotipos oficiais à solicitação.
O Lapsus$ também contou com o apoio de insiders nas empresas alvo, funcionários ou prestadores de serviços, para obter credenciais, aprovar solicitações de autenticação de múltiplos fatores (MFA), ou usar o acesso interno para ajudar o ator da ameaça.
Em um caso, o Lapsus$ usou seu acesso não autorizado a um provedor de telecomunicações para tentar comprometer contas de telefones móveis ligadas ao pessoal do FBI e do Departamento de Defesa.
A tentativa não teve sucesso devido à segurança extra implementada para essas contas.
Durante a pesquisa, CSRB descobriu que o grupo pagava até $20,000 por semana para acessar a plataforma de um provedor de telecomunicações e realizar as trocas de SIM.
Embora o FBI não estivesse ciente de Lapsus$ vendendo os dados que roubou ou encontrou evidências de vítimas pagando resgates ao grupo, o CSRB diz que alguns especialistas em segurança "observaram Lapsus$ extorquindo organizações, com algumas pagando resgates".
De acordo com as descobertas do CSRB, o grupo também explorou vulnerabilidades não corrigidas no Microsoft Active Directory para aumentar seus privilégios na rede da vítima.
Estima-se que o Lapsus$ explorou os problemas de segurança do Active Directory em até 60% de seus ataques, o que mostra que os membros do grupo tinham habilidades técnicas para se movimentar dentro de uma rede.
Apesar de Lapsus$ ser caracterizado por efetividade, velocidade, criatividade e ousadia, o grupo nem sempre foi bem-sucedido em seus ataques.
Ele falhou em ambientes que implementaram autenticação de múltiplos fatores baseada em aplicativos ou tokens (MFA).
Além disso, robustos sistemas de detecção de intrusões em redes e a sinalização de atividades suspeitas de contas impediram ataques do Lapsus$.
Quando os procedimentos de resposta a incidentes foram seguidos, o impacto foi "significativamente mitigado", diz o CSRB no relatório.
Apesar dos pesquisadores de segurança e especialistas criticarem há anos o uso da autenticação baseada em SMS como insegura, o Conselho de Revisão de Segurança Cibernética do DHS destacou que "a maioria das organizações não estava preparada para prevenir" os ataques do Lapsus$ ou de outros grupos que usam táticas semelhantes.
O Lapsus$ permaneceu em silêncio desde setembro de 2022, provavelmente devido a investigações policiais que levaram à prisão de vários membros do grupo.
Em março do ano passado, a Polícia da Cidade de Londres anunciou a prisão de sete indivíduos ligados ao Lapsus$.
Alguns dias depois, em 1 de abril, mais dois foram detidos, um de 16 e um de 17 anos.
Em outubro, durante a Operação Dark Cloud, a Polícia Federal brasileira prendeu um indivíduo suspeito de fazer parte do grupo de extorsão Lapsus$, por violar os sistemas do Ministério da Saúde do país.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...