Um dos gangs de cibercriminosos mais activos da actualidade e que tem criado sérios danos nos países lusófonos (o SNS do Brasil e a Vodafone, Parlamento, Expresso e a SIC), Reino Unido e EUA é conhecido como LAPSUS$ ou DEV-0537.
O LAPSUS$ distingue-se de outros grupos semelhantes por se concentrar num modelo diferente da maioria: enquanto grupos como o Conti (agora desorganizado em consequência da guerra na Ucrânia) ou os Wizard Spider, Viking Spider e Lockbit – baseados na Rússia e integrando desde Julho de 2021 um “cartel” – se dedicam mais a encriptar ficheiros de alvos e a exigirem resgates em troca das chaves de encriptação o LAPSUS$ age de forma diferente: usa um modelo mais clássico de extorsão e destruição. O grupo começou por se interessar por alvos no Reino Unido e na América Latina mas, mais recentemente, expandiu a sua acção a outros países e designadamente a Portugal focando-se em sectores onde outros grupos têm preferido manter uma distância higiénica (para não chamarem demasiada atenção das autoridades) tais como o sector governamental, saúde e comunicações. Essa sua implacabilidade é, em si mesma, uma pista sobre a sua natureza podendo indicar que é composto por pessoas muito jovens, provavelmente do sexo masculino.
O grupo terá ficado activo em meados de 2021 mas o primeiro ataque foi identificado apenas em Agosto desse ano através de mensagens de SMS enviadas a utilizadores britanicos contendo a frase: “We are LAPSUS$, remember our name, we have your userdata. we have EE’s, BT and Orange source code. If EE pay us 4 millions USD in XMR before the 20th august, we will delete everything from our servers. XMRADDR: 42qLW1FIEDQKjeoSAFQRXaVpSUx B8fTYJ2Zeah8dcDTYDEjCb71iCR76 ctGMysAB4nj3MTTCE5GuJMsC1eL uwKdu7v6FKf3”. A mensagem foi enviada a 1 de Agosto a vários britânicos depois destes terem feito aquisições de aplicações no iTunes com o seu cartão de crédito. Apesar disso, os telemóveis não pareciam comprometidos mas havia indícios de que uma operadora móvel britânica tinha sido invadida. Meses depois, na madrugada em 10 de Dezembro de 2021 (um padrão nas acções deste grupo), foi a vez do Ministério da Saúde do Brasil tendo sido afectados os sistemas e-SUS Notifica, o Sistema de Informação do Programa Nacional de Imunização (SI-PNI), ConecteSUS e assim como a emissão do Certificado Nacional de Vacinação COVID-19 e da Carteira Nacional de Vacinação Digital. Em consequencia estas plataformas ficaram indisponiveis e nunca recuperaram na totalidade. No ataque ao Ministério da Saúde foi colocada uma mensagem na homepage do site, em português, com a frase:
“LAPSUS$ GROUP VOCÊ SOFREU UM RANSOMWARE
OS DADOS INTERNOS DOS SISTEMAS FORAM COPIADOS E EXCLUÍDOS. 50 TB DE DADOS ESTÁ EM NOSSAS MÃOS.
NOS CONTATE CASO QUEIRAM O RETORNO DOS DADOS.
TELEGRAM: https://<editado>/minsaudebr
E-MAIL: saudegroup@<editado>.com“
Simultaneamente, foi também alterado o registo MX o que permitiu que o grupo pudesse receber durante algum tempo todos os mails enviados para o domínio do Ministério da Saúde brasileiro. Estes ataques parecem ter explorado a técnica conhecida como “DNS Hijacking” em que um agente malicioso consegue acesso ao domínio de DNS e encaminha um tráfego para uma página sob seu controlo e com os conteúdos que deseja apresentar ao público. Neste ataque foi colocada a correr a informação de que o LAPSUS$ seria formado essencialmente por colombianos e um espanhol mas a fonte desta informação nunca foi localizada e poderia ter sido lançada pelos membros do grupo para despistarem os investigadores. Que o grupo tinha membros brasileiros parece ter sido confirmado pela referência recente a um “jovem brasileiro de 16 anos” e ao texto que apareceu associado a este ataque que usava a versão brasileira do português assim como a natureza dos seus primeiros alvos: “Vamos explicar algumas coisas: o nosso único objetivo é obter dinheiro, não ligamos para a família Bolsonaro (vulgo Bolsofakenews) de m**”, escreveu o grupo durante os ataques, iniciados no passado dia 10 de dezembro, em resposta a uma primeira reação das autoridades policiais brasileiras sobre alegadas motivações políticas do Lapsus$ Group. Com efeito, o ataque teve um componente de intervenção política porque surgiu no contexto dos protestos contra uma “passaporte de vacinação” para quem visitasse o Brasil a partir do estrangeiro e isso reforça a ideia de que o grupo tem membros influentes no Brasil o que afasta a tese de que “é composto por colombianos e um espanhol”. No ataque à portuguesa Vodafone (empresa originária do Reino Unido) a linguagem utilizada também dava a entender a origem brasileira do ataque com a publicação no Telegram da mensagem: “O que devemos “vazar” primeiro”? Os dados da Impresa, os dados da Vodafone ou os de uma operadora telefónica, a T-Mobile?”.
Os primeiros ataques, a natureza política do ataque no Brasil indicam que o grupo é composto por britânicos e integra brasileiros e, de facto, a 25 de março estes indícios foram confirmados. A política britânica na manhã deste dia deteve sete pessoas com idades entre os 16 e os 21 que seriam o “ramo britânico” do LAPSUS$. Os indivíduos residiam em Oxford e seriam comandados por um adolescente de 16 anos que usava os nomes de “White” e “Breachbase” que terá sido identificado por hackers rivais quando perdeu o controlo do Doxbin: um site de procura e divulgação de informações pessoais de “pessoas de interesse”. O fundador deste site, um certo de “nachash” (serpente em hebraico) poderia ser “White” (embora dada a sua idade possa ser um dos outros sete detidos). O site continha números de segurança social, informação bancária e de cartões de crédito foi um dos alvos da operação policial multinacional “Onymous” de 2014.
Segundo site TechCrunch quando renunciou ao controlo do Doxbin publicou todos os dados no site no Telegram o que levou alguns rivais que constavam desta publicação a divulgarem dados pessoais sobe o próprio “White”/”nachash” como o endereço postal e fotografias nas redes sociais e terão sido estes dados que colocaram a polícia de Londres no seu encalce levando à sua detenção e à dos restantes seis membros do grupo.
Para saber mais:
https://unit42.paloaltonetworks.com/lapsus-group/
https://community.ee.co.uk/t5/Online-safety/Lapsus-Text/td-p/1067036/page/2
https://www.aa.com.tr/en/americas/brazil-hackers-take-down-ministry-of-health-website/2444317
https://economia.uol.com.br/noticias/reuters/2021/12/10/sistema-do-ministerio-da-saude-e-atacado-por-hackers.htm?cmpid=copiaecola
https://www.zdnet.com/article/who-are-lapsus-and-what-do-they-want/
https://tek.sapo.pt/noticias/computadores/artigos/hackers-do-lapsus-group-ameacam-divulgar-dados-da-impresa-e-da-vodafone-na-internet
https://en.m.wikipedia.org/wiki/Doxbin
https://techcrunch.com/2022/03/24/london-police-lapsus-arrests/
CpC – Cidadãos pela Cibersegurança
Iniciativa CpC: Cidadãos pela Cibersegurança 