Grupo de hackers Lapsus$ continua a realizar ataques de phishing, ransomware e DDoS

O grupo de cibercriminosos que já invadiu sistemas do Ministério da Saúde no Brasil continua a fazer vítimas com inúmeros ataques de phishing, DDoS e ransomware.

E a Samsung foi um dos alvos recentes da organização que continua a desafiar especialistas em segurança digital. Agora, usar recursos de proteção como VPN, firewall e antivírus é ainda mais essencial.

Uma gangue cibernética heterodoxa

O Lapsus$ não se encaixa em um grupo padrão de hackers. De enquetes no Telegram, onde seguidores votam para escolher novos alvos (e por onde os hackers divulgam os dados roubados em ataques de ransomware) ao padrão errático de ataques, tudo leva a crer que este não é um grupo de hackers profissionais com uma liderança centralizada, mas sim uma rede ampla de criminosos cibernéticos descentralizados.

No Brasil, o ataque mais significativo do grupo aconteceu na madrugada do dia 10 de dezembro de 2021, contra os sites e sistemas do Ministério da Saúde, que só anunciou a normalização total dos sistemas atingidos no dia 14 de janeiro deste ano.

De acordo com Brett Callow, analista da Emsisoft especialista em ameaças cibernéticas, as pessoas que formam o Lapsus$ têm bom nível de habilidade técnica, mas ainda são inexperientes em operações.

Os principais métodos de ataque

Um dos principais diferenciais entre o Lapsus$ e outras organizações do gênero é o fato de que eles não usam malware de criptografia para bloquear o acesso aos dados roubados.

Eles “apenas” invadem os sistemas, procuram pelos dados mais sensíveis (ou promissores) e exigem pagamentos para que o conteúdo não seja vazado e exposto na internet. No fim das contas, não são ataques convencionais de sequestro por ransomware, mas sim de roubo de dados e da ameaça de exposição caso o pagamento não seja efetivado no prazo determinado por eles.

Mas o Lapsus$ não se limita a ransomware: eles também executam ataques de phishing e DDoS (Distributed Denial of Service, ou “distribuição de negação de serviço).

No caso dos ataques de phishing, as vítimas recebem mensagens com links e/ou arquivos anexados maliciosos. Ao clicar em links indevidos, são levadas a páginas enganosas (que simulam sites de bancos, por exemplo) onde fornecem seus dados pessoais. E, ao baixar anexos, os dispositivos infectam com vírus que permitem o acesso e invasão dos criminosos.

Os ataques DDoS consistem em sobrecarregar servidores, websites e sistemas com um fluxo muito grande de acessos. Geralmente, dispositivos infectados são usados para essa finalidade, criando um “exército de aparelhos zumbis”.

Novos alvos e vítimas

Não há nenhuma restrição em relação aos alvos. O Lapsu$ ataca de forma aleatória e indiscriminada. Entre os alvos mais recentes destacam-se a Samsung e a Nvidia, por exemplo.

A empresa de tecnologia de telefonia celular foi atacada pelo grupo no dia 7 de março deste ano. A empresa sul-coreana teve 200gb de dados confidenciais roubados de seus sistemas, incluindo código-fonte de operações dos modelos de celular Galaxy e informações do algoritmo responsável pelo sistema de autenticação por biometria.

De acordo com a Samsung, não foram vazados dados pessoais de clientes e funcionários. A empresa também afirmou que fará mais investimentos em segurança.

No dia 27 de março de 2022, o Lapsus$ anunciou ter roubado 1tb de dados da Nvidia, em especial os códigos das placas da linha GeForce RTX 30 com limitadores de LHR, usados para impedir que as placas sejam usadas para mineração de criptomoedas. Caso certas exigências não sejam atendidas, os criminosos ameaçam divulgar as informações roubadas.

Entre os dados roubados há também informações de mais de 71 mil empregados da Nvidia, além do código fonte para renderização (DLSS).

Empresas como Claro, Localiza, MercadoLivre e MercadoPago são apenas alguns dos exemplos de alvos que já sofreram com ataques do grupo.

Atuando nas sombras

De acordo com publicação do Lapsus$, as motivações são exclusivamente financeiras. Eles também alegam não receber nenhum patrocínio nem possuir qualquer envolvimento político.

De acordo com Xue Yin Peh, analista sênior de inteligência contra ataques cibernéticos, é realmente difícil dizer se o grupo possui ou não algum tipo de financiamento ou apoio.

A natureza obscura do grupo dificulta qualquer mapeamento do Lapsus$ e a adoção de medidas específicas contra as ações deles. Assim, restam medidas de segurança mais abrangentes contra os ataques desta organização.

Segurança cibernética é fundamental

As ações do Lapsus$ têm feito com que muitas empresas e governos repensem na importância de investir em aprimoramentos de defesa das informações. E esta preocupação também deve se estender aos usuários, às pessoas em geral.

Como grande parte dos ataques são feitos via phishing, é crucial saber se defender deles. Não abrir e-mails, links e anexos em mensagens estranhas e não baixar nada suspeito é o básico.

Manter um firewall sempre ativo é outro passo importante, assim como antivírus profissional. Fazer as atualizações de sistema também é crucial, pois elas ajudam a diminuir as vulnerabilidades de segurança dos programas e sistemas operacionais.

Ter uma VPN confiável também ajuda a melhorar sua segurança, com criptografia mais robusta e melhoria da proteção dos seus dados e atividades online.

A melhor proteção são as atitudes dos próprios usuários. Afinal, comportamentos de risco são usados por grupos como o Lapsus$ e facilitam os ataques efetivados por eles.