Cybersecurity-onderzoekers van Microsoft en Nvidia hebben de recente hacks van Lapsus$ op deze bedrijven herleid naar een tiener in Oxford. De zestienjarige zou nog bij zijn moeder wonen, maar wel het mastermind achter de aanvallen zijn. Dit meldt Bloomberg.
De onderzoekers herleidden enkele grote hacks afgelopen maanden naar de tiener met behulp van forensische aanwijzingen binnen de bedrijven. Ook gingen ze af op openbare informatie, zoals informatie op social media.
In totaal heeft de onderzoeksgroep zeven unieke accounts binnen Lapsus$ geïdentificeerd. Naast de tiener in Engeland, wordt een tiener uit Brazilië in verband gebracht met de hackersgroep. Autoriteiten hebben deze tieners nog niet beschuldigd.
Human hacking
In eerste instantie dachten de cybersecurity-onderzoekers dat een groot deel van de hacks van Lapsus$ geautomatiseerd waren. De tiener bleek echter handmatig te werk te gaan. Hij is simpelweg erg bekwaam en snel.
| Slachtoffer | Website | Land | |
|---|---|---|---|
| Okta.com | LAPSUS$ | okta.com | USA |
| MS | LAPSUS$ | azure.microsoft.com | USA |
| LGE.com | LAPSUS$ | lge.com | South Korea |
| SAMSUNG | LAPSUS$ | www.samsung.com | South Korea |
| NVIDIA | LAPSUS$ | nvidia.com | USA |
| Localiza | LAPSUS$ | localiza.com | Brazil |
| SIC | LAPSUS$ | sic.pt | Portugal |
| Claro | LAPSUS$ | www.claro.com | Mexico |
| Ministério da Saúde | LAPSUS$ | www.gov.br | Brazil |
Lapsus$ staat verder bekend om zijn brutaliteit. De hackers maken hun slachtoffers bijvoorbeeld online belachelijk wanneer ze source codes of interne documenten lekken. Ze gaan zelfs zo ver dat ze Zoom-calls tussen medewerkers van de getroffen bedrijven binnenvallen.
Online is de tiener bekend onder de aliassen ‘White’ en ‘breachbase’. Zijn echte identiteit is echter niet goed beschermd gebleven. Twee van de onderzoekers stelden dat de hele Lapsus$ groep operationele beveiliging mist. Cybersecurity-bedrijven kunnen zo erg gemakkelijk persoonlijke informatie van de leden achterhalen.
Sporen niet verborgen
Microsoft schrijft in een blogpost: “In tegenstelling tot de meeste hackersgroepen die verborgen blijven, lijkt DEV-0537 zijn sporen niet te verbergen”. DEV-0537 is hierbij de benaming die Microsoft aan Lapsus$ heeft gegeven. Microsoft verklaart verder dat de groep “zelfs hun aanvallen op social media aankondigen of reclame maken voor hun intentie om inloggegevens van werknemers van de doelorganisatie te kopen”.
Persoonlijke informatie van de tiener uit Oxford was bovendien online te vinden. Andere hackers hebben onder andere zijn adres en informatie over zijn ouders gelekt. Bloomberg heeft op basis van deze informatie de moeder van de hacker opgespoord voor een interview.
Gesprek met de moeder
De vrouw vertelde zelf niet op de hoogte te zijn van de beschuldigingen aan het adres van haar kind. Ze was wel erg verontrust over het feit dat er video’s en foto’s van haar huis en het huis van de vader van haar zoon rondgaan op het internet.
Ze bevestigde dat de vermeende hacker bij haar woonde. Ook zou haar kind door anderen lastiggevallen worden thuis. Veel andere gelekte details kon ze echter niet bevestigen of ontkennen. Ook weigerde ze in te gaan op een formeel interview of op een interview met haar kind. Ze zal eerst contact opnemen met de politie.
Officiële instanties, namelijk de National Crime Agency in het Verenigd Koninkrijk, de Thames Valley Police in Oxford en de FBI in de Verenigde Staten, weigerden te reageren.
Vader wist van niets
De vader van de tiener zei tegen de BBC dat hij van niets wist. "Ik had hier tot voor kort nog nooit van gehoord. Hij heeft het nooit over hacken gehad, maar hij is erg goed met computers en brengt er veel tijd op door. Ik dacht altijd dat hij spelletjes aan het spelen was."
Hij zegt dat de familie er nu alles aan zal doen om de jongen van zijn computer weg te houden. De moeder van de jongeman wenste geen commentaar te geven.
The LAPSUS$ ransomware group appear to be incredibly inexperienced with OPSEC. They posted their message boasting about access to Microsoft's internal DevOps environment *while still exfiltrating source code*. We can tell by looking at the timestamp of the files in their leak. 🤦♂️ https://t.co/NaU38cypUw pic.twitter.com/AryXJS12A1
— Bill Demirkapi @ ShmooCon (@BillDemirkapi) March 22, 2022
Lapsus$ met vakantie
Na de hack op authenticatiesoftwarebedrijf Okta eerder deze week, suggereerde Lapsus$ dat de groep even pauze houdt. Op Telegram zegt een lid: “Enkele van onze leden hebben vakantie tot 30/3/2022. We kunnen een tijd stil zijn. Dankjewel voor het begrip. We zullen zo snel mogelijk dingen proberen te lekken”.
Bron: microsoft.com, bloomberg.com, vpngids.nl
Bekijk alle vormen en begrippen
Actuele aanvallen overzicht per dag
Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met Cybercrimeinfo.
Meer actueel nieuws
Meer cybercrime nieuws
Onderzoek gemeente Utrecht internetcriminaliteit
De gemeente Utrecht doet onderzoek naar internetcriminaliteit.
Inzicht krijgen hoe cybercriminelen te werk gaan
Cybercriminelen volgen graag de weg van de minste weerstand. Ze hacken als het ware de psyche van hun slachtoffers. Ze maken gebruik van publiek toegankelijke informatie (sociale media, OSINT) en ogenschijnlijk onschuldige interacties om slachtoffer profielen samen te stellen.
Britse instanties doelwit cyberaanvallen in een poging vaccin geheimen te stelen
Britse wetenschappelijke instellingen en universiteiten die zich bezighouden met de bestrijding van het coronavirus, zijn massaal het doelwit van Iraanse en Russische cybercriminelen. Hackers voeren cyberaanvallen uit op deze instanties om data te vinden over corona vaccins. Tot op heden is nog geen enkele aanval succesvol gebleken.
Coronacrime "De criminaliteit daalt, maar cybercrime stijgt fors."
Theo van der Plas, programmadirecteur Digitalisering en Cybercrime van de Nationale Politie, ziet een opvallende stijging van het aantal aangiften van WhatsApp-fraude en oplichting met phishing-mails. "De criminaliteit daalt, maar cybercrime stijgt fors."
Criminele economie profiteert van coronacrisis: flinke toename van cybercrime
Tienduizenden nepwebsites met medisch materiaal, phishing-mails en DDoS-aanvallen. Cybercriminelen spinnen garen bij de coronacrisis. "Ik ben 1240 euro kwijtgeraakt. Naar nieuwe mondkapjes zoek ik niet meer online."
Enquête openbare Wi-Fi
In onze samenleving maken mensen steeds meer gebruik van het internet voor diverse doeleinden. Het internet maakt ons leven op sommige gebieden makkelijker, bijvoorbeeld doordat je bankzaken online kunt regelen en doordat je makkelijk sociale contacten kunt maken en onderhouden. Helaas zitten er ook negatieve kanten aan de ontwikkeling van de mogelijkheden van het internet. Zo kan het gebruik van internet leiden tot cybercrime en slachtofferschap van online delicten. Om cybercrime en slachtofferschap te verminderen worden vanuit verschillende hoeken maatregelen getroffen om online veiligheid van internetgebruikers te verbeteren.
Wereldgezondheidsorganisatie (WHO) is het slachtoffer geworden van cybercriminelen
De Wereldgezondheidsorganisatie (WHO) is het slachtoffer geworden van cybercriminelen. Sinds de uitbraak van het COVID-19-virus is het aantal cyberaanvallen vervijfvoudigd. Afgelopen week lekten er duizenden e-mailadressen en wachtwoorden van de organisatie online. Alle geïnfecteerde computersystemen worden momenteel gemigreerd naar een meer beveiligde omgeving.
Cyberaanval op digitaal archief scholen Groningen en Haren
Het digitale archief van het Montessori Lyceum Groningen, Montessori Vaklyceum en het Harens Lyceum getroffen is getroffen door een computervirus. De bestanden uit het archief van de scholen zijn daardoor onherstelbaar beschadigd. Dit blijkt vandaag uit intern onderzoek naar de gebeurtenis. Het online onderwijs op de scholen en de schoolexamens gaan onverminderd door.
Nederland nummer 7 van landen met meeste corona scam websites in de wereld
Wereldwijd proberen cybercriminelen een slaatje te slaan uit de coronacrisis. Zij registreren op grote schaal allerlei domeinnamen met corona-gerelateerde termen. Deze sites verspreiden leugens, malware en faciliteren cybercriminaliteit en oplichting. Nederland staat in de top 10 van landen waar de meeste geregistreerde, corona-gerelateerde malafide domeinnamen vandaan komen. In totaal gaat het om ruim 1.400 domeinnamen.
‘Digiweerbaarheid’ als vast onderdeel van een goede bedrijfsstrategie
Het aantal incidenten neemt nog altijd exponentieel toe en de kranten staan er dagelijks vol mee: cybercrime. De jaarlijkse schade voor de Nederlandse economie wordt geschat op ruim 10 miljard euro per jaar en dit zal de komende jaren verder toenemen. Wij Nederlanders lopen vanwege onze verregaande digitalisering zelfs het grootste risico op cybercrime van Europa, zo blijkt uit onderzoek van Specops Software. Geen reden tot paniek, maar wél een reden voor ondernemend Nederland om voorbereid te zijn.
Vermoedelijke cyberaanval legt netwerk MSC plat
In een statement verklaart MSC dat een netwerk in een van de datacenters in Genève is uitgevallen, waardoor ‘de beschikbaarheid van sommige digitale tools heeft beïnvloed’. Wat de precieze oorzaak is van de problemen is vooralsnog niet helemaal duidelijk. Het concern sluit echter niet uit dat het gaat om een malware-aanval.
Verlenging van de 'intelligente lockdown': Advies thuiswerken
Met een verlenging van de lockdown zullen we nog even thuis moeten werken, het thuiswerken is alweer een paar weken de ‘normaalste’ gang van zaken in veel huishoudens. Voor de meeste zelfstandigen of werknemers was het even wennen in het begin, voor sommigen is het een luxe, voor anderen een nachtmerrie. Thuiswerken vergt aanpassingsvermogen van iedereen in het huishouden. Het normale ritme is aangepast en het dagelijkse leven ziet er anders uit.