Quais empresas foram atacadas pelo Grupo Lapsus$ e como
Desde que derrubaram o Conecte SUS, o grupo já assumiu ataques a diversas empresas de tecnologia ao redor do mundo. Entre os casos conhecidos e assumidos pelo grupo estão ataques à Okta, gigante do ramo de gerenciamento de acesso a contas, Microsoft, NVIDIA, Samsung, Ubisoft, Localiza, Embratel, Claro, Correios e FIB Bank. Porém, a forma dos ataques varia. Há casos de acesso não autorizado a dados ou códigos-fonte, como nos casos da Okta, Microsoft, NVIDIA e Samsung. Além desses casos, houve também casos de bloqueio de acesso a serviços online sendo a Ubisoft e os Correios os mais afetados por esse método. Outra forma de ataque deste grupo são a extorsão e destruição de dados, como no caso do Conecte SUS. Há também cenários em que o grupo adultera sites oficiais de empresas, como no caso da Localiza, empresa brasileira de aluguel de carros, que teve seu site redirecionando os usuários para conteúdos pornográficos, além de negação de serviços. Por fim, houve ataques de invasão a sistemas internos das empresas com pedido de resgate, como o que aconteceu com empresas de telefonia como a Embratel e Claro. Nestes ataques, os hackers postaram até mesmo imagens destes sistemas para provar a veracidade da invasão. Os casos mais graves foram causados contra a Okta, que teve dados de 2,5% dos seus clientes vazados, o que abarca 366 empresas, além de Microsoft, NVIDIA e Samsung, que tiveram códigos-fonte roubados de diversos produtos, como Bing, Cortana, dados de design de placas de vídeo e algoritmos de biometria e boot de celulares. Segundo apontado por especialistas e até mesmo pela Microsoft em uma nota publicada recentemente, o Grupo Lapsus$ realiza ataques principalmente através da obtenção de acesso por pagamento a funcionários das empresas-alvo ou então terceirizadas prestadoras de serviço a essas empresas; outros métodos são a troca de chips de celulares pelo de um espião do grupo ou até por phishing, prática muito utilizada para obter informações sobre um alvo e então inferir dados e senhas sobre essa pessoa ou organização. Geralmente, este tipo de ataque envolve perguntar informações pessoais, como nome da mãe da pessoa, animal de estimação etc. Os ataques são divulgados no canal do Telegram do grupo, que já conta com quase 50 mil inscritos — não há um site oficial para postagens ou pedidos de resgate, como virou praxe por parte de grupos antecessores a este. Alguns alvos são decididos por votações neste canal, algo também incomum até o momento. O grupo alega não ter interesses políticos em seus ataques, mas isso também era alegado por grupos anteriores. Segundo especialistas, o objetivo do grupo parece ser a fama e respeito na comunidade, não efetivamente obter dinheiro através de resgates ou então roubo de dados.
Quem faz parte da organização hacker Lapsus$?
Ainda não se sabe muito sobre o grupo, seus líderes e os motivos por trás destes ataques. A maioria dos especialistas acreditava que o grupo tinha a maioria dos seus membros ou então líderes localizados na América do Sul, especialmente no Brasil, devido ao foco a empresas brasileiras. No caso do FIB Bank, o ataque foi realizado após a revelação do envolvimento do banco em acordo para compra de vacinas indianas Covaxin pelo Ministério da Saúde, acusada de superfaturamento na CPI da Covid. Porém, pode não ser o caso. Em notícia reportada pela BBC, sete pessoas com idades entre 16 e 21 anos foram presas e depois liberadas em Londres no final de março, acusadas de fazer parte do grupo. Entre essas pessoas estão um jovem de 16 anos de Oxford, na Inglaterra, acusado de ser um dos líderes da organização criminosa e um brasileiro. As pessoas presas ainda são consideradas suspeitas pela polícia britânica, que mantém investigações acerca do caso. Não há mais informações sobre o membro brasileiro. O jovem britânico teria acumulado mais de 300 Bitcoins, um valor acima dos R$ 60 milhões em cotação atual da criptomoeda, através dos ataques e pedidos de resgate. Ele teve sua identidade protegida, chamado pelo codinome ‘White’, ou Branco, em tradução do inglês. A sua captura foi possível após o próprio hacker ter sido alvo de um ataque de um parceiro de negócios com quem teve problemas. Apesar disso, a polícia inglesa especializada já estava seguindo sua atividade na internet, já que o rapaz não estava escondendo efetivamente seus rastros online. Os pais de ‘White’ deram entrevista à imprensa inglesa e afirmaram que não sabiam do envolvimento do filho neste tipo de atividade, mas que sabiam que ele passava várias horas em frente ao computador, no que acreditavam ser jogos online.
Como se proteger do grupo hacker Lapsus$
Existem vários sinais de que um email, link ou site pode ser um esquema de phishing, um dos mais praticados por esse grupo, e é preciso estar atento e preparado para evitar os piores cenários se você vier a se tornar uma vítima deste tipo de ataque. Neste tipo de ataque hacker, a pessoa recebe um email que se passa por um oficial do banco, por exemplo, de um conhecido, ou de uma marca oferecendo uma promoção. Esse e-mail contém um link para clicar e, nele, há um formulário pedindo informações sigilosas como senhas, dicas para senhas da conta etc. Desta forma, a organização hacker por trás desse esquema obtém todas as informações diretamente do usuário sem precisar instalar um software malicioso no computador alheio. Este esquema também pode ser aplicado por mensagens no WhatsApp ou até mesmo por links encontrados em redes sociais e no próprio Google. É preciso estar atento a sinais de que pode estar sendo vítima de um ataque, como emails ou sites institucionais com erros gramaticais e canais oficiais pedindo informações como CPF, número da conta e dados sensíveis por mensagem. Mesmo assim, há outros indícios mais sutis. Uma das formas de identificar phishing é perceber a diferença entre o texto do link na mensagem e o link que ele realmente te leva. Por exemplo, o texto mostra um link para o acesso à conta da sua instituição bancária, mas o link, na verdade, é um endereço de IP de posse do grupo que quer roubar suas informações. É sempre importante ficar atento ao endereço que se está acessando e confirmar ser seguro! Em outros golpes mais sofisticados, o site oficial de uma empresa é copiado de forma quase idêntica através de uma imagem e então uma mensagem aparece na tela pedindo suas credenciais. Neste caso, há sempre elementos que causam estranheza ao acessar o site, como alguma característica do layout não estar em seu lugar de costume ou o logo ser uma das versões antigas, ou ainda o próprio site em si ser mais velho. Por último, uma das formas mais fáceis de se detectar este tipo de ataque são os próprios endereços de email que enviam a mensagem, geralmente com um nome que parece aleatório, com diversos números e letras ou então que se passa por uma empresa, mas quem enviou de fato foi um endereço pessoal de alguém. Outro ponto de atenção é para quem foi enviada a mensagem: em caso de meios oficiais de comunicação com o cliente, as mensagens são enviadas de forma individual, enquanto organizações costumam enviar emails em massa para várias possíveis vítimas. Outras formas importantes de se proteger de qualquer ataque que envolva tomar o acesso da sua conta são: ativar verificação de dois passos para todas suas contas, através de aplicativos como o Google Authenticator ou o Microsoft Authenticator e também evitar deixar informações pessoais de forma pública na internet. Quanto menos informações uma organização hacker souber sobre você, mais difícil será para eles conseguirem extrair dados sigilosos seus através de phishing. Veja também: Gostou da matéria sobre o grupo hacker Lapsus? Confira também como contratar um hacker. Fontes: BBC, ZDNET, Wired, Indian Express e Valor Econômico