A Check Point Research (CPR), divisão de Inteligência em Ameaças da Check Point Software Technologies, analisou o ataque à empresa de serviços de autenticação e identidade Okta, violada pelo grupo de ransomware Lapsus $. Segundo os especialistas, há indícios de que milhões de usuários estão potencialmente comprometidos no mundo.
LEIA MAIS: Ataques de ransomware tiveram um aumento de 14% ano a ano no mundo
O receio é de que os cibercriminosos tenha acesso às milhares de empresas que usam produtos Okta para proteger e gerenciar suas identidades. Por meio de chaves privadas recuperadas no Okta, o grupo Lapsus $ pode ter acesso a redes e aplicativos corporativos, por exemplo. Portanto, uma violação na empresa Okta pode levar a consequências potencialmente desastrosas, alerta a CPR.
De acordo com um comunicado oficial da Okta, a empresa está investigando uma violação em seus sistemas depois que o Lapsus $ publicou uma mensagem em seu grupo oficial no Telegram, alegando que eles a invadiram, porém “não roubaram ou acessaram nenhum banco de dados Okta”. O alvo do ataque, segundo o Lapsus $, não era a Okta, mas os seus clientes.
A CPR lembra que o Lapsus $ é um grupo de hackers do Brasil que recentemente foi associado a ciberataques de organizações de alto perfil. A gangue cibernética é conhecida por extorsão, ameaçando a divulgação de informações confidenciais, caso suas demandas de não sejam atendidas pelas vítimas.
O grupo já invadiu diversas empresas, como Nvidia, Samsung e a Ubisoft. No entanto, nunca ficou totalmente claro como o grupo conseguiu violar esses alvos.
Quem é o grupo Lapsus $?
O grupo Lapsus $ iniciou sua atividade em dezembro de 2021. A maioria de suas atividades tem o foco na violação de diferentes órgãos e agências governamentais e empresas de tecnologia. Desde o início de suas operações, a gangue cibernética tem sido vista como um “grupo de ransomware”, embora seu modus operandi até agora tenha sido muito diferente daquele de um “grupo de ransomware regular”, destacam os pesquisadores, pois não faz criptografia dos sistemas de suas vítimas.
O Lapsus $ mantém um grupo muito ativo no aplicativo Telegram, com mais de 35 mil assinantes, publicando anúncios sobre suas violações concluídas e dados roubados. A verdadeira motivação do grupo ainda não está clara, mesmo que ele afirme ser por razões puramente financeiras. Este grupo tem um forte envolvimento com seus seguidores e até publica pesquisas interativas sobre quem deve ser seu próximo alvo.
A principal recomendação da Check Point é que todos os clientes da Okta tenham extrema vigilância e adotem as melhores práticas de cibersegurança. A extensão total dos recursos do Lapsus $ poderá ser revelada no futuro, segundo apontam os pesquisadores.
A linha do tempo do Lapsus $
A primeira violação proclamada pelo grupo Lapsus $ foi contra o Ministério da Saúde do Brasil e outros órgãos governamentais em dezembro de 2021. Na ocasião, os sistemas do ministério ficaram fora do ar e não foi possível nem contabilizar o número diário de casos de covid-19 ou de vacinação.
Desde então, com o início de 2022, o Lapsus $ acelerou seu alcance cibernético e esteve envolvido em violações de dados de várias grandes empresas de tecnologia em todo o mundo, como Nvidia, Samsung, Ubisoft e, supostamente, Microsoft. O foco do grupo nesses gigantes de tecnologia estava principalmente no código-fonte.
No dia 22 de março, o grupo anunciou em seu canal no Telegram que tinha acesso seguro a uma conta de administrador da Okta, empresa de serviços de autenticação e identidade, incluindo acesso a vários de seus sistemas internos, alegando que seu objetivo final é, de fato, os clientes da empresa e não a própria Okta.
A CPR lembra que ainda não está claro como o Lapsus $ viola suas vítimas, mas com base em suas publicações, há duas hipóteses possíveis:
- Invasões via cadeia de suprimentos: violar provedores de serviços, como a Okta, para obter acesso a seus clientes.
- Recrutamento de insiders em grandes corporações.