Hacker 16enne sospettato capo del gruppo Lapsus$
Un cyber criminale minorenne probabile capo della banda di hacker Lapsus$, conosciuta anche come DEV-0537, che nelle ultime settimane ha hackerato big companies come Microsoft, Nvidia, Samsung, Okta, Vodafone e tante altre.
Quattro ricercatori di cyber security, insieme ad alcune aziende violate, indagano sulle attività della cyber gang, l’adolescente inglese, noto con lo pseudonimo di “White” e “Breachbase”, sembra essere la mente dei cyber attacchi. La polizia inglese sta investigando su altri sette account associati al gruppo hacker risalenti a persone di giovane età.
Le informazioni sul criminale informatico sono state rese pubbliche dalla comunità di Doxbin, sito web di condivisione e pubblicazione di documenti di cui, dopo esserne stato a capo, ha rubato e divulgato l’intero data set su Telegram.
Il 16enne è un esperto così veloce che gli analisti di sicurezza informatica pensavano di osservare un comportamento automatizzato. La motivazione che lo spinge a questi cyber attacchi è quella del furto a scopo di lucro, ma forse anche ideologica, oltre che la voglia di fama considerando le molte tracce che sembra aver lasciato appositamente. La sua modalità di operare è così impressionante che le sue tecniche di hacking sono state definite di alto livello. In molti ritenevano si trattasse di un cyber criminale di grande esperienza.
Lapsus$ Microsoft data exfiltration, rubati oltre 37 GB di codici sorgente
Lapsus$ ha esfiltrato 37 GB di dati da un server Azure DevOps di Microsoft, ci è riuscito creandosi una porta di accesso grazie alla compromissione dell’account di un dipendente. Il gruppo ha poi rilasciato i dati contenenti codice sorgente Bing Maps e Bing/Cortan via Torrent.
L’azienda realizza un’analisi dettagliata sul modo operandis del gruppo DEV-0537 dove dichiara che le tecniche utilizzate sono:
- ingegneria sociale basata sul telefono
- SIM-swapping
- violazione degli account di posta elettronica dei dipendenti delle organizzazioni
- insider threats, pagando dipendenti, fornitori o partner commerciali delle aziende target
- intrusioni nelle comunicazioni di emergenza
Normally you wouldn’t give cred to a snapshot but Lapsus has breached:
-Samsung
-Impresa
-Mercado Libre
-Ubisoft
-NvidiaAllegedly pending:
-Vodafone
-MicrosoftCredible so far and rep is at stake.@msftsecurity @Microsoft #cybersecurity #infosec #Lapsus https://t.co/rSNF75HCD1 pic.twitter.com/1QSQh4i22C
— Dominic Alvieri (@AlvieriD) March 20, 2022
Cyber attacco ad Okta, violati quasi 400 dei suoi clienti
Lapsus$ ha pubblicato online screenshot in cui affermava di aver ottenuto l’accesso alla piattaforma di autenticazione e gestione dell’identità Okta.
David Bradbury, Chief Security Officer dell’azienda colpita, ha dichiarato che il cyber criminale è riuscito ad avere accesso al laptop di un ingegnere tecnico dell’assistenza e che una piccola percentuale di clienti – nel peggiore dei casi poco meno di 400 organizzazioni – è stata interessata dal cyber attacco.
The LAPSUS$ ransomware group has claimed to breach Okta sharing the following images from internal systems. pic.twitter.com/eTtpgRzer7
— Bill Demirkapi @ ShmooCon (@BillDemirkapi) March 22, 2022
Gli hacker hanno visione diversa dell’accaduto come si evince dalla discussione su Twitter.
Attacco ransomware a Nvidia
Lapsus$ ha dichiarato di aver rilasciato gli hash delle password dei dipendenti NVIDIA.
Nei messaggi gli aggressori hanno anche rivelato l’intenzione di rilasciare presto 1 TB di dati rubati, probabilmente in cinque batch, se Nvidia non avesse pagato il riscatto.
[ALERT] LAPSUS ransomware gang leaked the credentials of NVIDIA employees. And announced that it would soon release 1TB of stolen data. pic.twitter.com/0WVb7G88So
— DarkTracer : DarkWeb Criminal Intelligence (@darktracer_int) February 26, 2022
Samsung, Lapsus$ ruba 190 GB di dati e codice sorgente dei dispositivi Galaxy
Gli hacker hanno violato i server Samsung facendo trapelare su Telegram codici sorgente relativi ad alcuni progetti riguardanti il funzionamento di alcuni dispositivi Galaxy, come gli algoritmi di autenticazione biometrica e API, il codice sorgente del bootloader e di Qualcomm, etc..
Lapsus$ ha rilasciato i dati in un Torrent realizzando una breve descrizione del contenuto dei tre archivi in cui erano stati suddivisi i 190GB di dati.
Cyber attacco verso Vodafone
Il gruppo di cyber crime ha dichiarato di aver rubato intorno ai 200 GB di codice sorgente di Vodafone.
A cura della Redazione
https://www.ictsecuritymagazine.com/notizie/hacker-16enne-sospettato-capo-del-gruppo-lapsus/