Logo Zephyrnet

Uber e Rockstar: un fulcro di LAPSUS$ è stato appena sballato (di nuovo)?

Data:

Il nome curioso LAPSUS$ fatto titoli enormi nel marzo 2022 come soprannome di una banda di hacker o, in parole semplici, come etichetta per un famigerato e attivo collettivo di criminali informatici:

Il nome era alquanto insolito per una squadra di criminali informatici, che comunemente adotta soubriquet che suonano taglienti e distruttivi, come CATENACCIO, Satana, Darksidee Revil.

Come accennato a marzo, tuttavia, estinguersi è una parola latina moderna come qualsiasi altra per "violazione dei dati" e il segno del dollaro finale indica sia il valore finanziario che la programmazione, essendo il modo tradizionale per indicare che la variabile BASIC è una stringa di testo, non un numero.

La banda, la squadra, l'equipaggio, il gruppo, il collettivo, il gruppo, chiamalo come vuoi, di aggressori apparentemente hanno presentato un simile tipo di ambiguità nella loro criminalità informatica.

A volte, sembravano dimostrare di essere seriamente intenzionati a estorcere denaro o strappare criptovaluta alle loro vittime, ma altre volte sembravano semplicemente mettersi in mostra.

Microsoft ha ammesso all'epoca che lo era stato infiltrato da LAPSUS$, sebbene il gigante del software si riferisse al gruppo come DEV-5037, con i criminali che apparentemente rubavano gigabyte di codice sorgente.

Okta, un fornitore di servizi 2FA, è stata un'altra vittima di alto profilo, in cui gli hacker hanno acquisito l'accesso RDP al computer di un tecnico di supporto e sono stati quindi in grado di accedere a un'ampia gamma di sistemi interni di Okta come se fossero collegati direttamente alla rete di Okta .

Quella tecnica di supporto non ha funzionato per Okta, ma per una società appaltata da Okta, in modo che gli aggressori siano stati essenzialmente in grado di violare la rete di Okta senza violare Okta stessa.

Curiosamente, anche se la violazione di Okta è avvenuta nel gennaio 2022, né Okta né il suo appaltatore hanno ammesso pubblicamente la violazione per circa due mesi, mentre un esame forense avvenuto…

…fino a quando LAPSUS$ non ha deciso di anticipare qualsiasi annuncio ufficiale da parte di scaricando schermate per "dimostrare" la violazione, ironicamente lo stesso giorno in cui Okta ha ricevuto il rapporto legale finale dall'appaltatore (non si sa come, o se, LAPSUS$ abbia ricevuto un preavviso della consegna del rapporto):

Il prossimo nella lista degli attacchi è stato il fornitore di chip grafici Nvidia, che a quanto pare ha subito anche un furto di dati, seguito da uno dei le richieste di estorsione più strane di ransomware con una differenza on record: open source del codice del driver grafico, oppure:

Come dicevamo nel podcast Naked Security (S3 Ep73):

Normalmente, la connessione tra criptovaluta e ransomware è la figura del truffatore: "Vai a comprare della criptovaluta e inviacela, e noi decrittograferemo tutti i tuoi file e/o cancelleremo i tuoi dati". […]

Ma in questo caso, la connessione con la criptovaluta è stata che hanno detto: "Ci dimenticheremo dell'enorme quantità di dati che abbiamo rubato se apri le tue schede grafiche in modo che possano criptare a piena potenza".

Perché risale a un cambiamento che Nvidia ha apportato l'anno scorso [2021], che è stato molto popolare tra i giocatori [scoraggiando i cryptominer dall'acquistare tutte le GPU Nvidia sul mercato per scopi non grafici].

Un diverso tipo di criminale informatico?

Nonostante le attività online attribuite a LAPSUS$ siano state seriamente e spudoratamente criminali, il comportamento post-sfruttamento del gruppo spesso sembrava piuttosto vecchio stile.

A differenza degli odierni aggressori ransomware multimilionari, le cui motivazioni principali sono denaro, denaro e altro denaro, LAPSUS$ si è apparentemente allineato più strettamente con la scena della scrittura di virus della fine degli anni '1980 e '1990, dove gli attacchi venivano comunemente condotti semplicemente per vantarsi e "per il lulz”.

(La frase per il lulz si traduce approssimativamente come per provocare una risata allegra e offensiva, basato sull'acronimo LOL, abbreviazione di "ridere a crepapelle".)

Quindi, quando la polizia della città di Londra ha annunciato, appena due giorni dopo la comparsa degli screenshot per niente allegri dell'attacco a Okta, che aveva arrestato quello che sembrava un gruppo eterogeneo di giovani nel Regno Unito per presunti membri di un gruppo di hacker...

...i media IT del mondo hanno rapidamente stabilito una connessione con LAPSUS$:

Per quanto ne sappiamo, le forze dell'ordine del Regno Unito non hanno mai usato la parola LAPSUS$ in relazione ai sospetti in quell'arresto, notando nel marzo 2022 semplicemente che "le nostre indagini restano in corso".

Tuttavia, un apparente legame con LAPSUS$ è stato dedotto dal fatto che si diceva che uno dei giovani arrestati avesse 17 anni e provenisse dall'Oxfordshire in Inghilterra.

In modo affascinante, un hacker di quell'età che presumibilmente viveva in una città appena fuori Oxford, la città da cui la contea circostante prende il nome, era stato denunciato non molto tempo prima da uno scontento rivale del crimine informatico, in quello che è noto come un doxxing.

Doxxing è il luogo in cui un criminale informatico rilascia di proposito documenti personali e dettagli rubati, spesso per mettere un individuo a rischio di arresto da parte delle forze dell'ordine o in pericolo di punizione da oppositori male informati o malevoli.

Il doxxer ha fatto trapelare quello che ha affermato essere l'indirizzo di casa del suo rivale, insieme a dettagli personali e foto di lui e dei suoi familiari stretti, oltre a una serie di accuse secondo cui era una sorta di perno nell'equipaggio di LAPSUS$.

LAPUS$ di nuovo sotto i riflettori

Come puoi immaginare, il recente Storie di hacking di Uber ha ripreso il nome LAPSUS$, dato che l'attaccante in quel caso era ampiamente affermato di avere 18 anni, e apparentemente era solo interessato a mettersi in mostra:

Come ha spiegato Chester Wisniewski in un recente minisode podcast:

[I]n questo caso, […] sembra essere “per i lulz”. […La] persona che lo ha fatto è stato principalmente raccogliere trofei mentre rimbalzavano attraverso la rete – sotto forma di screenshot di tutti [i] diversi strumenti, utilità e programmi che erano in uso intorno a Uber – e pubblicandoli pubblicamente, immagino per il credito di strada.

Poco dopo l'hacking di Uber, quasi un'ora di quelli che sembravano essere video clip del prossimo gioco GTA6, apparentemente schermate realizzate a scopo di debug e test, sono trapelate a seguito di un'intrusione nei giochi Rockstar.

Ancora una volta, lo stesso giovane hacker, con la stessa presunta connessione a LAPSUS$, è stato coinvolto nell'attacco.

Questa volta, rapporti suggerire che l'hacker aveva in mente qualcosa di più del semplice vantarsi, affermando che lo erano "cercando di negoziare un accordo".

Quindi, quando la polizia della città di Londra tweeted all'inizio di questa settimana che avevano "arrestato un diciassettenne nell'Oxfordshire con l'accusa di pirateria informatica"...

…puoi immaginare a quali conclusioni è arrivata rapidamente la sfera di Twitter.

Deve essere la stessa persona!

Dopotutto, qual è la possibilità che stiamo parlando di due sospetti diversi e non collegati qui?

L'unica cosa che non sappiamo è esattamente dove entra in gioco il soprannome di LAPSUS$, se davvero è coinvolto.

Oh, che rete intricata tessiamo / Quando per la prima volta ci esercitiamo a ingannare.


SCOPRI COME EVITARE ATTACCHI IN STILE LAPSUS$

Fare clic e trascinare sulle onde sonore sottostanti per passare a qualsiasi punto. Puoi anche ascolta direttamente su Soundcloud.


spot_img

L'ultima intelligenza

spot_img