Hacker 16enne sospettato capo del gruppo Lapsus$

Un cyber criminale minorenne probabile capo della banda di hacker Lapsus$, conosciuta anche come DEV-0537, che nelle ultime settimane ha hackerato big companies come Microsoft, Nvidia, Samsung, Okta, Vodafone e tante altre.

Quattro ricercatori di cyber security, insieme ad alcune aziende violate, indagano sulle attività della cyber gang, l’adolescente inglese, noto con lo pseudonimo di “White” e “Breachbase”, sembra essere la mente dei cyber attacchi. La polizia inglese sta investigando su altri sette account associati al gruppo hacker risalenti a persone di giovane età.

Le informazioni sul criminale informatico sono state rese pubbliche dalla comunità di Doxbin, sito web di condivisione e pubblicazione di documenti di cui, dopo esserne stato a capo, ha rubato e divulgato l’intero data set su Telegram.

Il 16enne è un esperto così veloce che gli analisti di sicurezza informatica pensavano di osservare un comportamento automatizzato. La motivazione che lo spinge a questi cyber attacchi è quella del furto a scopo di lucro, ma forse anche ideologica, oltre che la voglia di fama considerando le molte tracce che sembra aver lasciato appositamente. La sua modalità di operare è così impressionante che le sue tecniche di hacking sono state definite di alto livello. In molti ritenevano si trattasse di un cyber criminale di grande esperienza.

Lapsus$ Microsoft data exfiltration, rubati oltre 37 GB di codici sorgente

Lapsus$ ha esfiltrato 37 GB di dati da un server Azure DevOps di Microsoft, ci è riuscito creandosi una porta di accesso grazie alla compromissione dell’account di un dipendente. Il gruppo ha poi rilasciato i dati contenenti codice sorgente Bing Maps e Bing/Cortan via Torrent.

L’azienda realizza un’analisi dettagliata sul modo operandis del gruppo DEV-0537 dove dichiara che le tecniche utilizzate sono:

• ingegneria sociale basata sul telefono
• SIM-swapping
• violazione degli account di posta elettronica dei dipendenti delle organizzazioni
• insider threats, pagando dipendenti, fornitori o partner commerciali delle aziende target
• intrusioni nelle comunicazioni di emergenza

Normally you wouldn’t give cred to a snapshot but Lapsus has breached:

-Samsung
-Impresa
-Mercado Libre
-Ubisoft
-Nvidia

Allegedly pending:
-Vodafone
-Microsoft

Credible so far and rep is at stake.@msftsecurity @Microsoft #cybersecurity #infosec #Lapsus https://t.co/rSNF75HCD1 pic.twitter.com/1QSQh4i22C

— Dominic Alvieri (@AlvieriD) March 20, 2022

Cyber attacco ad Okta, violati quasi 400 dei suoi clienti

Lapsus$ ha pubblicato online screenshot in cui affermava di aver ottenuto l’accesso alla piattaforma di autenticazione e gestione dell’identità Okta.

David Bradbury, Chief Security Officer dell’azienda colpita, ha dichiarato che il cyber criminale è riuscito ad avere accesso al laptop di un ingegnere tecnico dell’assistenza e che una piccola percentuale di clienti – nel peggiore dei casi poco meno di 400 organizzazioni – è stata interessata dal cyber attacco.

The LAPSUS$ ransomware group has claimed to breach Okta sharing the following images from internal systems. pic.twitter.com/eTtpgRzer7

— Bill Demirkapi @ ShmooCon (@BillDemirkapi) March 22, 2022

Gli hacker hanno visione diversa dell’accaduto come si evince dalla discussione su Twitter.

Attacco ransomware a Nvidia

Lapsus$ ha dichiarato di aver rilasciato gli hash delle password dei dipendenti NVIDIA.
Nei messaggi gli aggressori hanno anche rivelato l’intenzione di rilasciare presto 1 TB di dati rubati, probabilmente in cinque batch, se Nvidia non avesse pagato il riscatto.

[ALERT] LAPSUS ransomware gang leaked the credentials of NVIDIA employees. And announced that it would soon release 1TB of stolen data. pic.twitter.com/0WVb7G88So

— DarkTracer : DarkWeb Criminal Intelligence (@darktracer_int) February 26, 2022

Samsung, Lapsus$ ruba 190 GB di dati e codice sorgente dei dispositivi Galaxy

Gli hacker hanno violato i server Samsung facendo trapelare su Telegram codici sorgente relativi ad alcuni progetti riguardanti il funzionamento di alcuni dispositivi Galaxy, come gli algoritmi di autenticazione biometrica e API, il codice sorgente del bootloader e di Qualcomm, etc..

Lapsus$ ha rilasciato i dati in un Torrent realizzando una breve descrizione del contenuto dei tre archivi in cui erano stati suddivisi i 190GB di dati.

Cyber attacco verso Vodafone

Il gruppo di cyber crime ha dichiarato di aver rubato intorno ai 200 GB di codice sorgente di Vodafone.

 

A cura della Redazione