Cybersecurity-onderzoekers van Microsoft en Nvidia hebben de recente hacks van Lapsus$ op deze bedrijven herleid naar een tiener in Oxford. De zestienjarige zou nog bij zijn moeder wonen, maar wel het mastermind achter de aanvallen zijn. Dit meldt Bloomberg.
De onderzoekers herleidden enkele grote hacks afgelopen maanden naar de tiener met behulp van forensische aanwijzingen binnen de bedrijven. Ook gingen ze af op openbare informatie, zoals informatie op social media.
In totaal heeft de onderzoeksgroep zeven unieke accounts binnen Lapsus$ geïdentificeerd. Naast de tiener in Engeland, wordt een tiener uit Brazilië in verband gebracht met de hackersgroep. Autoriteiten hebben deze tieners nog niet beschuldigd.
Human hacking
In eerste instantie dachten de cybersecurity-onderzoekers dat een groot deel van de hacks van Lapsus$ geautomatiseerd waren. De tiener bleek echter handmatig te werk te gaan. Hij is simpelweg erg bekwaam en snel.
| Slachtoffer | Website | Land | |
|---|---|---|---|
| Okta.com | LAPSUS$ | okta.com | USA |
| MS | LAPSUS$ | azure.microsoft.com | USA |
| LGE.com | LAPSUS$ | lge.com | South Korea |
| SAMSUNG | LAPSUS$ | www.samsung.com | South Korea |
| NVIDIA | LAPSUS$ | nvidia.com | USA |
| Localiza | LAPSUS$ | localiza.com | Brazil |
| SIC | LAPSUS$ | sic.pt | Portugal |
| Claro | LAPSUS$ | www.claro.com | Mexico |
| Ministério da Saúde | LAPSUS$ | www.gov.br | Brazil |
Lapsus$ staat verder bekend om zijn brutaliteit. De hackers maken hun slachtoffers bijvoorbeeld online belachelijk wanneer ze source codes of interne documenten lekken. Ze gaan zelfs zo ver dat ze Zoom-calls tussen medewerkers van de getroffen bedrijven binnenvallen.
Online is de tiener bekend onder de aliassen ‘White’ en ‘breachbase’. Zijn echte identiteit is echter niet goed beschermd gebleven. Twee van de onderzoekers stelden dat de hele Lapsus$ groep operationele beveiliging mist. Cybersecurity-bedrijven kunnen zo erg gemakkelijk persoonlijke informatie van de leden achterhalen.
Sporen niet verborgen
Microsoft schrijft in een blogpost: “In tegenstelling tot de meeste hackersgroepen die verborgen blijven, lijkt DEV-0537 zijn sporen niet te verbergen”. DEV-0537 is hierbij de benaming die Microsoft aan Lapsus$ heeft gegeven. Microsoft verklaart verder dat de groep “zelfs hun aanvallen op social media aankondigen of reclame maken voor hun intentie om inloggegevens van werknemers van de doelorganisatie te kopen”.
Persoonlijke informatie van de tiener uit Oxford was bovendien online te vinden. Andere hackers hebben onder andere zijn adres en informatie over zijn ouders gelekt. Bloomberg heeft op basis van deze informatie de moeder van de hacker opgespoord voor een interview.
Gesprek met de moeder
De vrouw vertelde zelf niet op de hoogte te zijn van de beschuldigingen aan het adres van haar kind. Ze was wel erg verontrust over het feit dat er video’s en foto’s van haar huis en het huis van de vader van haar zoon rondgaan op het internet.
Ze bevestigde dat de vermeende hacker bij haar woonde. Ook zou haar kind door anderen lastiggevallen worden thuis. Veel andere gelekte details kon ze echter niet bevestigen of ontkennen. Ook weigerde ze in te gaan op een formeel interview of op een interview met haar kind. Ze zal eerst contact opnemen met de politie.
Officiële instanties, namelijk de National Crime Agency in het Verenigd Koninkrijk, de Thames Valley Police in Oxford en de FBI in de Verenigde Staten, weigerden te reageren.
Vader wist van niets
De vader van de tiener zei tegen de BBC dat hij van niets wist. "Ik had hier tot voor kort nog nooit van gehoord. Hij heeft het nooit over hacken gehad, maar hij is erg goed met computers en brengt er veel tijd op door. Ik dacht altijd dat hij spelletjes aan het spelen was."
Hij zegt dat de familie er nu alles aan zal doen om de jongen van zijn computer weg te houden. De moeder van de jongeman wenste geen commentaar te geven.
The LAPSUS$ ransomware group appear to be incredibly inexperienced with OPSEC. They posted their message boasting about access to Microsoft's internal DevOps environment *while still exfiltrating source code*. We can tell by looking at the timestamp of the files in their leak. 🤦♂️ https://t.co/NaU38cypUw pic.twitter.com/AryXJS12A1
— Bill Demirkapi @ ShmooCon (@BillDemirkapi) March 22, 2022
Lapsus$ met vakantie
Na de hack op authenticatiesoftwarebedrijf Okta eerder deze week, suggereerde Lapsus$ dat de groep even pauze houdt. Op Telegram zegt een lid: “Enkele van onze leden hebben vakantie tot 30/3/2022. We kunnen een tijd stil zijn. Dankjewel voor het begrip. We zullen zo snel mogelijk dingen proberen te lekken”.
Bron: microsoft.com, bloomberg.com, vpngids.nl
Bekijk alle vormen en begrippen
Actuele aanvallen overzicht per dag
Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met Cybercrimeinfo.
Meer actueel nieuws
Meer cybercrime nieuws
Test in 3 minuten de digitale weerbaarheid van jouw organisatie!
Weet jij hoe het is gesteld met de digitale weerbaarheid van jouw bedrijf of organisatie? Met de simpele 'Digiweerbaar Test' weet je in 3 minuten hoe jouw organisatie scoort op het gebied van cyberveiligheid.
Digitale deuren MKB staan open voor cybercriminelen "Wake Up Now"
Ondernemers in het mkb onderschatten nog te vaak het risico om slachtoffer te worden van cybercrime. ,,U denkt misschien dat het iets is waar uw buurman last van heeft. Waarom zou u ermee in aanraking komen? U heeft maar een heel gewoon bedrijf", stelt Peter R. de Vries cynisch tijdens een cybercongres.
Cybercrime: feiten, cijfers en voorspellingen 2019 tot 2021
Wat u moet weten over de triljoen dollar cybereconomie in de komende 3 jaar
Primeur: digitale beveiliging bereikbaar voor iedereen
Of je nou slachtoffer bent geworden van cybercrime of je wilt de eerste stappen zetten om jezelf beter te beveiligen; sinds vandaag kun je terecht op het eerste toegankelijke platform voor digitale veiligheid.
Deze 10 kwetsbaarheden worden het meest misbruikt
Meer dan de helft van de tien populairste softwarebugs die door cybercriminelen worden misbruikt, zijn meer dan een jaar oud, in sommige gevallen zelfs meer dan vijf jaar. Veel bedrijven slagen er blijkbaar nog steeds niet in om patches tijdig uit te voeren.
Enorme groei cybercrime toont aan: cybersecurity noodzaak als onderdeel bedrijfsstrategie
Het MKB moet serieus werk maken van haar digitale veiligheid. Die noodzaak blijkt uit het recente nieuws over cybercriminaliteit. De voorbeelden buitelen in de actualiteit over elkaar heen: een Arnhemmer die twaalf miljard passwords en inlognamen te koop aanbiedt op het internet, de politie die 64 procent toename van cybercrime meldt in 2019 en IT’ers die massaal vrezen dat hun eigen bedrijf kwetsbaar is voor een cyberaanval.
Criminelen maken dankbaar gebruik van digitale tech
Technologie heeft ons leven op veel verschillende manieren comfortabeler en efficiënter gemaakt. Maar ook criminelen maken maar al te graag gebruik van nieuwe ontwikkelingen en hightech innovaties. Ze zijn voortdurend op zoek naar manieren om efficiënter te werk te kunnen gaan en behoren vaak tot de early adopters van opkomende technologieën.
Update: Techneut? Lees dit over Citrix aanvallen
Op 17 december 2019 is een kwetsbaarheid op verschillende Citrix oplossingen (Citrix Application Delivery Controller, Citrix Gateway en Citrix SD-WAN WANOP) publiekelijk bekendgemaakt. Tot afgelopen weekend was nog geen publieke exploitcode beschikbaar om misbruik te maken van deze kwetsbaarheid. Deze is er nu dus wel. In dit bericht houden wij u op de hoogte van de ontwikkelingen rondom deze kwetsbaarheid.
Techneut? Lees dit over Citrix aanvallen
Op 17 december 2019 is een kwetsbaarheid op verschillende Citrix oplossingen (Citrix Application Delivery Controller, Citrix Gateway en Citrix SD-WAN WANOP) publiekelijk bekendgemaakt. Tot afgelopen weekend was nog geen publieke exploitcode beschikbaar om misbruik te maken van deze kwetsbaarheid. Deze is er nu dus wel. In dit bericht houden wij u op de hoogte van de ontwikkelingen rondom deze kwetsbaarheid.
Cyberaanvallen Citrix servers (2020)
Cybersecurity onderzoekers hebben in Nederland 713 Citrix-servers ontdekt die kwetsbaar zijn voor cyberaanvallen en cybercriminelen zoeken inmiddels actief naar kwetsbare machines. Wereldwijd gaat het om meer dan 25.000 Citrix-servers die risico lopen. De servers zijn kwetsbaar door een beveiligingslek in de 'Citrix Application Delivery Controller' (ADC) en 'Citrix Gateway' die respectievelijk bekend stonden als de 'NetScaler ADC' en 'NetScaler Gateway'.
Het leek op een populaire chat-app. Het is stiekem een spionagetool.
WASHINGTON - Het wordt voorgesteld als een gemakkelijke en veilige manier om via video of sms te chatten met vrienden en familie, zelfs in landen waar de populaire berichtenservices zoals WhatsApp en Skype zijn ingeperkt.
Oproep aan de Universiteit Maastricht