Một nhóm tội phạm mạng mang tên Lapsus$ đang xâm chiếm các đại gia công nghệ trên toàn thế giới.
Chỉ trong vài tháng qua, nhóm này đã chiếm đầu của Nvidia, Ubisoft, Samsung, Okta và Microsoft.
Chiến thuật trắng trợn của họ đã thu hút một đám đông đông đảo - và một số kẻ thù mạnh mẽ.
Dưới đây là những gì chúng tôi biết về những kẻ đe dọa kỹ thuật số này.
Những hacker của Lapsus$ là ai?
TNW Conference 2024 - Kêu gọi tất cả Startups tham gia vào ngày 20-21 tháng 6
Trình bày startup của bạn trước các nhà đầu tư, người làm thay đổi và khách hàng tiềm năng với các gói Startup được chọn lọc của chúng tôi.
Lapsus$ lần đầu tiên xuất hiện trên các tiêu đề vào tháng 12 năm trước sau khi nhận công nhận về một cuộc tấn công vào bộ Y tế của Brazil.
Nhóm đã đăng một thông điệp trên trang web của bộ Y tế:
Dữ liệu nội bộ của các hệ thống đã được sao chép và xóa. 50 Tb dữ liệu nằm trong tay chúng tôi. Liên hệ nếu bạn muốn có lại dữ liệu.
Nhóm đã thể hiện sự ưa thích ban đầu đối với các mục tiêu nói tiếng Bồ Đào Nha - và một mong muốn rõ ràng về sự chú ý.
Trong một cuộc tấn công vào tháng 1 vào một trong những tập đoàn truyền thông lớn nhất của Bồ Đào Nha, những kẻ hack này đã gửi một cảnh báo tin giả có nội dung:
Bùng nổ: Tổng thống bị lật đổ và buộc tội về tội ác: Lapsus$ là Tổng thống mới của Bồ Đào Nha.
Nhóm đã gửi những thông điệp bằng tiếng Bồ Đào Nha Brazil và được cho là hoạt động từ Nam Mỹ.
Tuy nhiên, đại diện trong kênh Telegram của băng này - nơi đã thu hút hơn 45,000 người đăng ký - thường nói tiếng Anh. Một thành viên Lapsus$ được cho là đã bị doxxing là một chàng trai 16 tuổi sống tại Anh.
Mặc dù các cuộc tấn công của băng thường xuyên và nạn nhân của họ có độ nổi bật, nhưng chiến thuật của họ đã bị miêu tả là non nớt.
“Nhóm này dường như là một nhóm trẻ tuổi và không có kinh nghiệm đang gặp khó khăn trong việc nhận thanh toán cho tất cả công việc tống tiền này,” các nghiên cứu viên tại Silent Push, một công ty tình báo đe dọa, viết trong một bài đăng trên blog.
Chiến thuật của họ là gì?
Lapsus$ thường được mô tả là một nhóm ransomware, nhưng phương thức của họ giống hơn với tống tiền dữ liệu.
Microsoft cho biết các thành viên trong nhóm sử dụng “một mô hình tống tiền và phá hủy thuần túy mà không triển khai bất kỳ tải ransomware nào.”
Họ thường tập trung vào việc đe dọa danh tính người dùng để truy cập vào một tổ chức.
Những thông tin đăng nhập này cho phép họ truy cập vào hệ thống doanh nghiệp và đánh cắp dữ liệu quý giá, mà họ sau đó sử dụng để tống tiền nạn nhân.
Họ cũng nhắm vào tổ chức bằng cách tuyển dụng nhân viên của công ty có thể cung cấp quyền truy cập vào dữ liệu nhạy cảm. Lapsus$ đã đề xuất thanh toán cho quyền truy cập nội bộ trên kênh Telegram của nhóm.
Các phương pháp nghi ngờ khác của nhóm bao gồm các cuộc tấn công DNS spoofing, SIM-swapping và chiến dịch lừa đảo.
Những mục tiêu của họ là ai?
Sự tập trung ban đầu của nhóm vào các tổ chức sử dụng tiếng Bồ Đào Nha giờ đã mở rộng toàn cầu.
Những mục tiêu gần đây bao gồm ông lớn GPU Mỹ Nvidia, nhà phát hành game Pháp Ubisoft và tập đoàn công nghệ Hàn Quốc Samsung.
Nạn nhân mới nhất là công ty xác thực Okta.
Trong kênh Telegram của Lapsus$, các thành viên đã chia sẻ những bức ảnh chụp màn hình cho thấy hệ thống nội bộ của Okta.
Sau khi ban đầu bị buộc tội làm nhẹ cảm breach, Okta tiết lộ rằng lên đến 366 khách hàng của họ đã bị ảnh hưởng.
Trong một loạt các bài đăng trên blog, Giám đốc An ninh thông tin của Okta, David Bradbury, cho biết những kẻ hack đã xâm phạm các hệ thống bằng cách truy cập từ xa vào máy tính của một kỹ sư của bên thứ ba.
Trong khi Bradbury cho biết không cần thực hiện các biện pháp sửa chữa, phản ứng của Okta đã bị chỉ trích. Cổ phiếu của công ty giảm 10.5% vào ngày thứ Tư, Reuters báo cáo.
Làm thế nào để bảo vệ mình?
Dãn tội ác của Lapsus$ đã khiến nhiều tổ chức lo sợ rằng họ sẽ là những mục tiêu tiếp theo. Nếu bạn là một trong số họ, Microsoft có những lời khuyên sau:
- \n
- Hiện đại hóa triển khai MFA. \n
- Yêu cầu các điểm cuối khỏe mạnh và đáng tin cậy. \n
- Tận dụng các tùy chọn xác thực hiện đại cho VPN. \n
- Tăng cường và giám sát tư duy bảo mật đám mây của bạn. \n
- Cải thiện nhận thức về các cuộc tấn công kỹ thuật xã hội. \n
- Thiết lập các quy trình bảo mật vận hành đối với xâm nhập DEV-0537. \n
Trong khi đó, Cloudflare đã cung cấp lời khuyên cho khách hàng của Okta có thể đã bị ảnh hưởng bởi sự việc xâm nhập.
Những mẹo này có thể đã đến quá muộn đối với một số nạn nhân của Lapsus$, nhưng nhóm này chắc chắn bây giờ đã trở thành một con mồi quý giá đối với cảnh sát mạng.