Cybersecurity-onderzoekers van Microsoft en Nvidia hebben de recente hacks van Lapsus$ op deze bedrijven herleid naar een tiener in Oxford. De zestienjarige zou nog bij zijn moeder wonen, maar wel het mastermind achter de aanvallen zijn. Dit meldt Bloomberg.
De onderzoekers herleidden enkele grote hacks afgelopen maanden naar de tiener met behulp van forensische aanwijzingen binnen de bedrijven. Ook gingen ze af op openbare informatie, zoals informatie op social media.
In totaal heeft de onderzoeksgroep zeven unieke accounts binnen Lapsus$ geïdentificeerd. Naast de tiener in Engeland, wordt een tiener uit Brazilië in verband gebracht met de hackersgroep. Autoriteiten hebben deze tieners nog niet beschuldigd.
Human hacking
In eerste instantie dachten de cybersecurity-onderzoekers dat een groot deel van de hacks van Lapsus$ geautomatiseerd waren. De tiener bleek echter handmatig te werk te gaan. Hij is simpelweg erg bekwaam en snel.
Slachtoffer | Website | Land | |
---|---|---|---|
Okta.com | LAPSUS$ | okta.com | USA |
MS | LAPSUS$ | azure.microsoft.com | USA |
LGE.com | LAPSUS$ | lge.com | South Korea |
SAMSUNG | LAPSUS$ | www.samsung.com | South Korea |
NVIDIA | LAPSUS$ | nvidia.com | USA |
Localiza | LAPSUS$ | localiza.com | Brazil |
SIC | LAPSUS$ | sic.pt | Portugal |
Claro | LAPSUS$ | www.claro.com | Mexico |
Ministério da Saúde | LAPSUS$ | www.gov.br | Brazil |
Lapsus$ staat verder bekend om zijn brutaliteit. De hackers maken hun slachtoffers bijvoorbeeld online belachelijk wanneer ze source codes of interne documenten lekken. Ze gaan zelfs zo ver dat ze Zoom-calls tussen medewerkers van de getroffen bedrijven binnenvallen.
Online is de tiener bekend onder de aliassen ‘White’ en ‘breachbase’. Zijn echte identiteit is echter niet goed beschermd gebleven. Twee van de onderzoekers stelden dat de hele Lapsus$ groep operationele beveiliging mist. Cybersecurity-bedrijven kunnen zo erg gemakkelijk persoonlijke informatie van de leden achterhalen.
Sporen niet verborgen
Microsoft schrijft in een blogpost: “In tegenstelling tot de meeste hackersgroepen die verborgen blijven, lijkt DEV-0537 zijn sporen niet te verbergen”. DEV-0537 is hierbij de benaming die Microsoft aan Lapsus$ heeft gegeven. Microsoft verklaart verder dat de groep “zelfs hun aanvallen op social media aankondigen of reclame maken voor hun intentie om inloggegevens van werknemers van de doelorganisatie te kopen”.
Persoonlijke informatie van de tiener uit Oxford was bovendien online te vinden. Andere hackers hebben onder andere zijn adres en informatie over zijn ouders gelekt. Bloomberg heeft op basis van deze informatie de moeder van de hacker opgespoord voor een interview.
Gesprek met de moeder
De vrouw vertelde zelf niet op de hoogte te zijn van de beschuldigingen aan het adres van haar kind. Ze was wel erg verontrust over het feit dat er video’s en foto’s van haar huis en het huis van de vader van haar zoon rondgaan op het internet.
Ze bevestigde dat de vermeende hacker bij haar woonde. Ook zou haar kind door anderen lastiggevallen worden thuis. Veel andere gelekte details kon ze echter niet bevestigen of ontkennen. Ook weigerde ze in te gaan op een formeel interview of op een interview met haar kind. Ze zal eerst contact opnemen met de politie.
Officiële instanties, namelijk de National Crime Agency in het Verenigd Koninkrijk, de Thames Valley Police in Oxford en de FBI in de Verenigde Staten, weigerden te reageren.
Vader wist van niets
De vader van de tiener zei tegen de BBC dat hij van niets wist. "Ik had hier tot voor kort nog nooit van gehoord. Hij heeft het nooit over hacken gehad, maar hij is erg goed met computers en brengt er veel tijd op door. Ik dacht altijd dat hij spelletjes aan het spelen was."
Hij zegt dat de familie er nu alles aan zal doen om de jongen van zijn computer weg te houden. De moeder van de jongeman wenste geen commentaar te geven.
The LAPSUS$ ransomware group appear to be incredibly inexperienced with OPSEC. They posted their message boasting about access to Microsoft's internal DevOps environment *while still exfiltrating source code*. We can tell by looking at the timestamp of the files in their leak. 🤦♂️ https://t.co/NaU38cypUw pic.twitter.com/AryXJS12A1
— Bill Demirkapi @ ShmooCon (@BillDemirkapi) March 22, 2022
Lapsus$ met vakantie
Na de hack op authenticatiesoftwarebedrijf Okta eerder deze week, suggereerde Lapsus$ dat de groep even pauze houdt. Op Telegram zegt een lid: “Enkele van onze leden hebben vakantie tot 30/3/2022. We kunnen een tijd stil zijn. Dankjewel voor het begrip. We zullen zo snel mogelijk dingen proberen te lekken”.
Bron: microsoft.com, bloomberg.com, vpngids.nl
Bekijk alle vormen en begrippen
Actuele aanvallen overzicht per dag
Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met Cybercrimeinfo.
Meer actueel nieuws
Meer cybercrime nieuws
Cybercrime: "Het aantal is dit jaar bijna verdubbeld"
Het aantal aangiftes en meldingen van cybercrime is tijdens de coronacrisis explosief gestegen. In de eerste maanden van 2019 werden nog zo'n 2500 meldingen gedaan van cybercrime.
INTERPOL-rapport toont een alarmerend aantal cyberaanvallen tijdens COVID-19
Een INTERPOL-beoordeling van de impact van COVID-19 op cybercriminaliteit heeft aangetoond dat er een aanzienlijke verschuiving van het doelwit is van individuen en kleine bedrijven naar grote bedrijven, overheden en kritieke infrastructuur.
"Ik los het zelf op" en "Het heeft geen zin, de politie zal er niets aan doen"
Slachtoffers van online criminaliteit doen zelden aangifte bij de politie en wanneer zij dit wel doen, leidt dit vaak tot ontevredenheid.
Menselijke fouten grootste oorzaak cyberincidenten
Bijna alle bedrijven maken vandaag gebruik van clouddiensten. De cloud is schaalbaar, efficiënt en mobiel, perfect voor de groeiende datastromen en het toenemende thuiswerk van vandaag. Maar zonder gespecialiseerde kennis is de cloud niet zonder risico. Configuratie fouten door medewerkers zouden de grootste oorzaak zijn van cyberincidenten in de cloud. Dat wijzen twee studies van veiligheidsbedrijven uit.
Opnieuw slachtoffer: "Schijnbaar houden deze daders een goede boekhouding bij"
De laatste tijd worden vooral oudere Zeeuwse mensen voor de tweede of derde keer voor duizenden euro's opgelicht. De politie waarschuwt alert te zijn en oplichtingspraktijken bij de politie en uw bank te melden.
Apollo Vredestein weerloos tegenover cybercriminelen als een van de vele Nederlandse bedrijven
Apollo Vredestein blijkt, als een van de vele Nederlandse bedrijven, weerloos te zijn geweest tegenover cybercriminelen. De Twentse bandenfabriek, die ruim een week geleden door hackers werd platgelegd, gebruikte apparatuur die al meer dan tien jaar niet was bijgewerkt. De gebruiksaanwijzing waardoor hackers konden binnenkomen stond bovendien gewoon op internet.
'11 Zerodays' ontdekt in de eerste zes maanden van 2020
Volgens gegevens verzameld door het beveiligingsteam van Project Zero van Google, zijn er in de eerste helft van het jaar '11 zero-day kwetsbaarheden' misbruikt.
"Digitale leefwereld van onderwereld en onze jeugd vermengt zich"
Voor beleggers is Snap Inc. - het bedrijf achter onder andere SnapChat- zeer waardevol. De huidige waarde van het bedrijf wordt geschat op 1,4 miljard euro (1,7 miljard dollar). Het bedrijf heeft dus zeker een positieve impact op onze samenleving als dusdanig. Door de komst van SnapChat zijn veel nieuwe digitale mogelijkheden ontstaan die een positief effect op de samenleving en economie hebben, helemaal tijdens de covid-19 gerelateerde lockdowns over de gehele wereld.
Voor het eerst dat de 'Europese Unie' sancties oplegt voor cyberaanvallen
Zes personen en drie entiteiten die verantwoordelijk zijn voor de meest schadelijke cyberaanvallen komen vanaf vandaag op een sanctielijst van de Europese Unie (EU). Op de sanctielijst komen onder andere de verantwoordelijken voor de verstoorde Russische cyberoperatie tegen de Organisatie voor het Verbod op Chemische Wapens (OPCW). Daarnaast krijgen personen en entiteiten uit China en Noord-Korea sancties opgelegd.
Beveilig je databases online! "voor de lol gewist"
Duizenden "onbeveiligde databases" zijn de afgelopen dagen gewist door een aanvaller die alleen het woord "Meow" achterlaat.
VS waarschuwt voor toename cyberaanvallen op de 'vitale infrastructuur'
De Verenigde Staten hebben vandaag een waarschuwing afgegeven voor verhoogde cyberdreiging op de vitale infrastructuur vanuit statelijke actoren gericht op internet toegankelijke operationele technologie (OT) systemen.
Trends in cyberaanvallen: halfjaarverslag 2020
Begin 2020 hadden maar heel weinig mensen de gebeurtenissen die zich ontvouwden, kunnen voorspellen. De wereldwijde pandemie van COVID-19 veroorzaakte ongekende veranderingen in ons hele leven en heeft onze hele werkcultuur hervormd.