Cybersecurity-onderzoekers van Microsoft en Nvidia hebben de recente hacks van Lapsus$ op deze bedrijven herleid naar een tiener in Oxford. De zestienjarige zou nog bij zijn moeder wonen, maar wel het mastermind achter de aanvallen zijn. Dit meldt Bloomberg.
De onderzoekers herleidden enkele grote hacks afgelopen maanden naar de tiener met behulp van forensische aanwijzingen binnen de bedrijven. Ook gingen ze af op openbare informatie, zoals informatie op social media.
In totaal heeft de onderzoeksgroep zeven unieke accounts binnen Lapsus$ geïdentificeerd. Naast de tiener in Engeland, wordt een tiener uit Brazilië in verband gebracht met de hackersgroep. Autoriteiten hebben deze tieners nog niet beschuldigd.
Human hacking
In eerste instantie dachten de cybersecurity-onderzoekers dat een groot deel van de hacks van Lapsus$ geautomatiseerd waren. De tiener bleek echter handmatig te werk te gaan. Hij is simpelweg erg bekwaam en snel.
| Slachtoffer | Website | Land | |
|---|---|---|---|
| Okta.com | LAPSUS$ | okta.com | USA |
| MS | LAPSUS$ | azure.microsoft.com | USA |
| LGE.com | LAPSUS$ | lge.com | South Korea |
| SAMSUNG | LAPSUS$ | www.samsung.com | South Korea |
| NVIDIA | LAPSUS$ | nvidia.com | USA |
| Localiza | LAPSUS$ | localiza.com | Brazil |
| SIC | LAPSUS$ | sic.pt | Portugal |
| Claro | LAPSUS$ | www.claro.com | Mexico |
| Ministério da Saúde | LAPSUS$ | www.gov.br | Brazil |
Lapsus$ staat verder bekend om zijn brutaliteit. De hackers maken hun slachtoffers bijvoorbeeld online belachelijk wanneer ze source codes of interne documenten lekken. Ze gaan zelfs zo ver dat ze Zoom-calls tussen medewerkers van de getroffen bedrijven binnenvallen.
Online is de tiener bekend onder de aliassen ‘White’ en ‘breachbase’. Zijn echte identiteit is echter niet goed beschermd gebleven. Twee van de onderzoekers stelden dat de hele Lapsus$ groep operationele beveiliging mist. Cybersecurity-bedrijven kunnen zo erg gemakkelijk persoonlijke informatie van de leden achterhalen.
Sporen niet verborgen
Microsoft schrijft in een blogpost: “In tegenstelling tot de meeste hackersgroepen die verborgen blijven, lijkt DEV-0537 zijn sporen niet te verbergen”. DEV-0537 is hierbij de benaming die Microsoft aan Lapsus$ heeft gegeven. Microsoft verklaart verder dat de groep “zelfs hun aanvallen op social media aankondigen of reclame maken voor hun intentie om inloggegevens van werknemers van de doelorganisatie te kopen”.
Persoonlijke informatie van de tiener uit Oxford was bovendien online te vinden. Andere hackers hebben onder andere zijn adres en informatie over zijn ouders gelekt. Bloomberg heeft op basis van deze informatie de moeder van de hacker opgespoord voor een interview.
Gesprek met de moeder
De vrouw vertelde zelf niet op de hoogte te zijn van de beschuldigingen aan het adres van haar kind. Ze was wel erg verontrust over het feit dat er video’s en foto’s van haar huis en het huis van de vader van haar zoon rondgaan op het internet.
Ze bevestigde dat de vermeende hacker bij haar woonde. Ook zou haar kind door anderen lastiggevallen worden thuis. Veel andere gelekte details kon ze echter niet bevestigen of ontkennen. Ook weigerde ze in te gaan op een formeel interview of op een interview met haar kind. Ze zal eerst contact opnemen met de politie.
Officiële instanties, namelijk de National Crime Agency in het Verenigd Koninkrijk, de Thames Valley Police in Oxford en de FBI in de Verenigde Staten, weigerden te reageren.
Vader wist van niets
De vader van de tiener zei tegen de BBC dat hij van niets wist. "Ik had hier tot voor kort nog nooit van gehoord. Hij heeft het nooit over hacken gehad, maar hij is erg goed met computers en brengt er veel tijd op door. Ik dacht altijd dat hij spelletjes aan het spelen was."
Hij zegt dat de familie er nu alles aan zal doen om de jongen van zijn computer weg te houden. De moeder van de jongeman wenste geen commentaar te geven.
The LAPSUS$ ransomware group appear to be incredibly inexperienced with OPSEC. They posted their message boasting about access to Microsoft's internal DevOps environment *while still exfiltrating source code*. We can tell by looking at the timestamp of the files in their leak. 🤦♂️ https://t.co/NaU38cypUw pic.twitter.com/AryXJS12A1
— Bill Demirkapi @ ShmooCon (@BillDemirkapi) March 22, 2022
Lapsus$ met vakantie
Na de hack op authenticatiesoftwarebedrijf Okta eerder deze week, suggereerde Lapsus$ dat de groep even pauze houdt. Op Telegram zegt een lid: “Enkele van onze leden hebben vakantie tot 30/3/2022. We kunnen een tijd stil zijn. Dankjewel voor het begrip. We zullen zo snel mogelijk dingen proberen te lekken”.
Bron: microsoft.com, bloomberg.com, vpngids.nl
Bekijk alle vormen en begrippen
Actuele aanvallen overzicht per dag
Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met Cybercrimeinfo.
Meer actueel nieuws
Meer cybercrime nieuws
"Vannacht, 30 september, vond een cyberaanval plaats op onze hogeschool"
De AP Hogeschool is getroffen door een cyberaanval. Diverse online diensten en tools zijn hierdoor tijdelijk niet beschikbaar vanaf de hogeschool. De Belgische onderwijsinstelling roept studenten op om thuis te blijven en niet naar de campus te komen.
De gaming-industrie behoort tot een van de zwaarst getroffen sectoren als het gaat om cyberaanvallen
Of het nu gaat om diamanten graven in een virtuele zandbak of de rol van een held spelen in een 'massively multiplayer online role-playing game' (MMORPG), of het zoeken naar de perfecte plek om een hinderlaag op te zetten in een 'first-person shooter (FPS)', gamen is voor velen aan het eind van de dag een beetje stoom afblazen. Of misschien midden op de dag wanneer er een lege ruimte in de agenda is, nu we allemaal vanuit huis werken. Vertel het maar niet aan mijn baas. ;-)
Amsterdams waterbedrijf 'Waternet' hacken, is kinderspel
Bij het Amsterdamse waterbedrijf Waternet is de digitale beveiliging niet op orde. Dat blijkt uit een onderzoek van Follow The Money (FTM), die zich baseren op interne documenten en gesprekken met medewerkers.
Bij 80% van de Nederlandse bedrijven staan digitale deuren open voor hackers
88% van de Nederlandse IT-verantwoordelijken zegt de beveiliging van de eigen organisatie onder controle te hebben. 70% denkt prima zelfstandig weerstand te kunnen bieden aan cybercrime. Toch installeert 80% niet alle patches en updates. Nog niet de helft neemt specifieke maatregelen om de eigen kwetsbaarheid te verkleinen. Onderzoek van Solvinity laat een forse kloof zien tussen de perceptie en de realiteit van de eigen digitale veiligheid.
Cyberaanval op procesautomatisering hoe kun je dit voorkomen?
Cyberaanvallen speelden zich in het verleden vooral af in IT-omgevingen. De laatste tijd groeit ook het aantal dreigingen voor het OT-domein (operational technology) malware en bewuste aanvallen die gericht zijn op de besturingssystemen of de procesautomatisering van producerende bedrijven. Hoe kun je je hiertegen beschermen?
Als je dacht dat…
Op het Darkweb kun je verschillende handleidingen vinden over hoe je cybercriminaliteit moet plegen. Eindeloze lijsten met aanmeldingen, wachtwoorden, account nummers en zelfs telefonische ondersteuningslijnen voor slachtoffers om te bellen, dit alles kan eenvoudig online worden gekocht. Men moet echter niet denken dat het Darkweb anoniem is. De FBI en politiediensten gebruikt al geruime tijd beproefde methoden om criminelen te vangen, vooral onervaren nieuwelingen.
"Deze ontwikkeling is bijzonder want er zijn de afgelopen jaren steeds meer risico’s bijgekomen"
Bijna negen op de tien Nederlanders maakt zich niet of nauwelijks zorgen om zijn digitale veiligheid. En dat terwijl cybercriminaliteit sinds het uitbreken van de coronacrisis alleen maar is toegenomen. Desondanks treffen mensen die thuiswerken amper maatregelen om hun digitale veiligheid te vergroten.
Cyberaanval op het Noorse parlement
Het Noorse parlement Stortinget was het slachtoffer van een ‘omvangrijke’ cyberaanval. Uit onderzoek blijkt dat de e-mailaccounts van diverse parlementariërs en medewerkers zijn gehackt. Daarbij is data buitgemaakt. Het is niet bekend wie er achter de aanval zit.
Gecoördineerde actie in achttien landen
Eurojust heeft, in samenwerking met Europol en het Amerikaanse politieapparaat, een internationale piraterij bende opgerold.
Een op drie Nederlanders verwacht nooit slachtoffer te worden van internetoplichting
Phishing mails afkomstig van je bank, nep WhatsApp-berichten van je ‘kind in geldnood’ en Marktplaats advertenties die gouden bergen beloven maar niet leveren.
‘We moeten haast maken bij de cybercrime-aanpak. Het tempo ligt te laag’
De politie in West-Brabant en Zeeland gaat hard de strijd aan met de snel toenemende cybercriminaliteit. De eenheid maakt dit jaar nog in totaal zestig specialistische rechercheurs vrij om zich voltijds te richten op online-misdaad.
De Belgische politie treft 50.000 e-mailadressen en wachtwoorden aan van Nederlanders
In een onderzoek naar een cyberdelict zijn door de Belgische politie 50.000 mailadressen en wachtwoorden aangetroffen. Vandaag ontvangen deze 50.000 betrokkenen een e-mail van het cybercrimeteam van de politie Oost-Nederland.