Um caso recente que preocupou os especialistas da área envolveu um suposto vazamento de dados da AstraZeneca, farmacêutica responsável por uma das vacinas contra a covid-19. O grupo alegou ter invadido os sistemas da empresa e roubado aproximadamente 3 GB de dados internos, que passaram a ser comercializados em fóruns clandestinos. O Brasil também não escapou às acções do LAPSUS$: em 2022, os hackers atacaram os sistemas do Ministério da Saúde do país, com ligação directa a membros activos em território brasileiro.
Quem é o LAPSUS$ e como surgiu
Em actividade desde 2020, o LAPSUS$ é um grupo de hackers que começou a atrair atenção internacional através de invasões de elevado impacto. O que mais projetou o nome do grupo no meio criminoso foi a abordagem expansiva e agressiva aplicada nos seus ataques contra grandes empresas, sobretudo as do sector tecnológico.
Ao contrário dos grupos de ransomware, o foco do LAPSUS$ residia no roubo de códigos-fonte e de dados sensíveis, de forma deliberadamente ruidosa e sem qualquer preocupação com o sigilo. O período mais intenso das operações decorreu entre 2021 e 2022, com uma vaga de ataques que causou prejuízos significativos às vítimas.
Face à dimensão da ameaça, o LAPSUS$ acabou por ser investigado pela polícia internacional e pelo FBI, que fizeram uma descoberta surpreendente: a maioria dos seus membros era adolescente. As investigações identificaram ainda jovens residentes no Reino Unido e no Brasil, com uma capacidade impressionante para executar esquemas altamente complexos.
Os ataques que colocaram o LAPSUS$ no mapa
O LAPSUS$ ganhou notoriedade no mundo do cibercrime através de ataques digitais contra grandes empresas tecnológicas. Em 2022, o grupo invadiu a Microsoft e conseguiu aceder ao código-fonte do Bing, do Cortana e do Bing Maps, com o roubo de cerca de 37 GB de dados.
Outro ataque emblemático visou a Nvidia, com a extracção de 1 TB de dados, incluindo informações sobre placas gráficas, controladores e tecnologias futuras, o que desencadeou uma investigação por parte do FBI.
No caso brasileiro, em 2021, o Ministério da Saúde foi atacado pelo LAPSUS$, que colocou o ConecteSUS (actualmente designado Meu SUS Digital) fora de serviço, comprometendo dados sobre a vacinação contra a Covid-19.
O que torna o LAPSUS$ um caso único e como actua
Para conquistar fama tão rapidamente, o LAPSUS$ assentou a sua acção numa combinação letal de engenharia social e táticas de extorsão.
Em traços gerais, o grupo invade sistemas de dentro para fora, mediante o pagamento a funcionários das empresas visadas para que cedam as suas credenciais. Desta forma, os criminosos dispensam a disseminação de malware, bastando recorrer à persuasão ou à coerção para obter dados sigilosos das organizações. Outras práticas recorrentes incluem o roubo de código-fonte, a exposição pública de informação confidencial em fóruns clandestinos e a exploração de falhas humanas e de vulnerabilidades nos sistemas de autenticação multifactor.
Por que razão o LAPSUS$ ainda tem peso
Embora a realidade actual seja distinta da de anos passados, o nome do grupo continua a causar preocupação entre os especialistas, em grande medida devido à reputação que os hackers construíram ao longo do tempo.
As investigações policiais conduziram à detenção de vários membros e ao enfraquecimento da operação original, mas esses desenvolvimentos não foram suficientes para encerrar o grupo de vez. Renovado, o LAPSUS$ mantém-se activo, como demonstra o recente caso da AstraZeneca.
O que as empresas podem aprender com o caso LAPSUS$
Ainda que o LAPSUS$ não seja o mesmo de outrora, continua a causar danos consideráveis. As empresas devem, por isso, encarar o assunto com atenção redobrada, de modo a preservar a integridade das suas operações face a possíveis ameaças.
Entre as medidas recomendadas contam-se a protecção das credenciais dos colaboradores, a revisão frequente de acessos, a adopção de sistemas de autenticação multifactor mais robustos e a redução da exposição dos colaboradores a táticas de engenharia social.
Em última análise, mais do que uma organização criminosa comum, o LAPSUS$ conquistou o mundo do crime ao demonstrar que os ataques digitais não exigem necessariamente a utilização de malware para serem bem-sucedidos. O acesso legítimo combinado com a exposição pública pode ser tão destrutivo quanto qualquer outro método.
