Технологичните гиганти от цял свят са изправени пред ново предизвикателство и то носи името Lapsus$. Хакерската групировка вече е поразила имена от ранга на Nvidia, Ubisoft, Samsung, Okta и Microsoft. Последователите им се увеличават, а наглата им тактика бързо стана широко популярна. Lapsus$ се появиха за първи път в новинарските заглавия миналия декември, когато атакуваха бразилското здравно министерство. На официалния сайт беше публикувано следното съобщение: „Вътрешните данни на системите бяха копирани и изтрити. 50 TВ данни са в нашите ръце. Свържете се с нас, ако искате данните обратно“. Интригата се заплете още повече, когато през януари при нова хакерска атака срещу един от най-големите медийни конгломерати в Португалия се появи следното провокативно съобщение: „Прекъсване: Президентът е отстранен и обвинен в убийство: Lapsus$ е новият президент на Португалия“. Въпреки ясния им афинитет към португалския език в Telegram съществува канал на бандата, в който комуникацията е предимно на английски. Повечето слухове твърдят, че бандата не се намира в Южна Америка или южните части на Европа и първите им удари са били по-скоро за отвличане на вниманието. Твърди се още, че един от членовете дори е 16-годишен тийнейджър от Обединеното кралство. Според информация на Bloomberg младежът използва онлайн псевдонимите White и breachbase, но властите все още „не са успели да го свържат окончателно с всеки хак, за който Lapsus$ са поели вината“. Разбира се, не може и да става и дума, че тийнейджърът действа сам. Следователите смятат, има още един заподозрян тийнейджър в Бразилия, а седем уникални акаунта са свързани с групата. Има съмнения, че някои от процесите са автоматизирани, но това не може да бъде напълно потвърдено, защото вероятността това да са изключително способни хакери не се изключва съвсем. Според експерта по киберсигурност Брайън Кребс основен член на Lapsus$ може би използва псевдонимите Oklaqq и WhiteDoxbin, като за него се предполага, че е закупил уебсайта Doxbin. Базата му с данни позволява на потребителите да публикуват или търсят лична информация с цел доксиране. WhiteDoxbin обаче явно е имал друг замисъл, защото бързо продава уебсайта обратно на предишния му собственик, но след това публикува базата с данни, което съвсем разгневява потребителите. Според техни данни отново става дума за личност, живееща в Обединеното кралство. Според Кребс е напълно възможно това да е и човекът, който стои зад пробива на EA, за който стана ясно в края на миналата година.

Но за какви атаки всъщност става въпрос? Като цяло Lapsus$ се свързват с ransomware атаки, но жертвите са по-скоро склонни да окачествят целия процес като изнудване. Според Microsoft бандата разчита на „чист модел на изнудване и унищожаване, без да използват полезни натоварвания на ransomware“. Те обикновено се фокусират върху компрометиране на потребителските самоличности за достъп до организация. По този начин те имат достъп до корпоративни системи и могат да откраднат ценни данни, които използват за изнудване на жертвата. Другите предполагаеми методи на групата включват атаки за DNS spoofing, смяна на SIM и кампании за фишинг. В канала на хакерската групировка в Telegram не липсват и оферти за осигуряване на вътрешен достъп до различни корпорации - разбира се, срещу доста солидно заплащане. Както се вижда, Lapsus$ се целят високо, като във въпросния канал дори се разпространиха снимки на вътрешните системи на Okta.

 

 

Компанията потвърди, че около 366 нейни клиенти са били засегнати, а главният директор по сигурността на Okta Дейвид Бредбъри съобщи в пост, че хакерите са компрометирали системите, като са получили отдалечен достъп до компютъра на инженер на трета страна. Според Reuters веднага след това акциите на компанията са паднали с 10.5%. Въпреки че мнозина ги наричат аматьори, трябва да им се признае, че Lapsus$ не играят на дребно.

Снимки: Shutterstock/Twitter

Виж още: Ето как бивш служител на Apple ощети гиганта с 10 млн. долара