Содержание статьи
Взломы и вымогательство
Впервые группа Lapsus$ заявила о себе несколько месяцев назад, в декабре 2021 года, когда после взлома затребовала выкуп у Министерства здравоохранения Бразилии. Однако на первые полосы СМИ хакеры начали попадать позже, уже после компрометации столпов ИТ‑индустрии.
Как отмечали эксперты компании Flashpoint, Lapsus$ отличается от других вымогательских группировок тем, что не шифрует файлы своих жертв, а проникает в сеть компании, получает доступ к важным файлам, похищает их, а затем угрожает слить данные, если ей не заплатят выкуп.
Также следует добавить, что Lapsus$ не имеет собственного «сайта для утечек», где публикует или продает данные своих жертв. Все сливы и общение «с публикой» происходят в Telegram-канале хакеров, который насчитывает более 52 тысяч подписчиков, или по почте, а похищенные данные и вовсе распространяются через торренты.
В общей сложности жертвами Lapsus$ стали уже 19 компаний и организаций, при этом 15 из них находятся в странах Латинской Америки и в Португалии. Вспомним самые громкие взломы, которые в последние два месяца принесли группировке известность:
Nvidia: Lapsus$ похитили у производителя железа учетные данные 71 тысячи сотрудников, исходные коды и другую внутреннюю информацию, включая сертификаты для подписи кода. Хакеры требовали, чтобы компания открыла исходники всех своих GPU-драйверов и отключила на видеокартах механизм LHR (Lite Hash Rate), при помощи которого производитель ограничивает майнинговый потенциал своего железа.
Samsung: группа украла конфиденциальные данные, в том числе исходный код, связанный с работой смартфонов Galaxy, в итоге опубликовав примерно 190 Гбайт данных.
Microsoft: хакеры обнародовали часть исходных кодов Bing, Cortana и других продуктов Microsoft, якобы похищенных с внутреннего сервера Microsoft Azure DevOps. В Microsoft сообщили, что в компании «не считают секретность кода мерой безопасности», и заверили, что утечка исходников не влечет за собой повышение рисков.
Okta: по официальным данным, взлом этого поставщика систем управления доступом и идентификацией затронул примерно 2,5% клиентов Okta. Lapsus$ имели доступ к серверным административным консолям Okta и данным клиентов, судя по всему скомпрометировав машину одного из сотрудников поддержки с высоким доступом.
Среди других пострадавших от рук группировки были португальское подразделение Vodafone, аргентинский гигант e-commerce Mercado Libre, упомянутое выше Министерство здравоохранения Бразилии.
Тактики и методы
Хотя даже после официального признания факта взлома представители Microsoft не сообщили, как именно была скомпрометирована учетная запись сотрудника компании, после атаки был опубликован детальный обзор тактик и методов, используемых Lapsus$ (в компании группировку отслеживают под кодовым именем DEV-0537).
Продолжение доступно только участникам
Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Вариант 2. Открой один материал
Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.
Я уже участник «Xakep.ru»
