Cybersecurity-onderzoekers van Microsoft en Nvidia hebben de recente hacks van Lapsus$ op deze bedrijven herleid naar een tiener in Oxford. De zestienjarige zou nog bij zijn moeder wonen, maar wel het mastermind achter de aanvallen zijn. Dit meldt Bloomberg.
De onderzoekers herleidden enkele grote hacks afgelopen maanden naar de tiener met behulp van forensische aanwijzingen binnen de bedrijven. Ook gingen ze af op openbare informatie, zoals informatie op social media.
In totaal heeft de onderzoeksgroep zeven unieke accounts binnen Lapsus$ geïdentificeerd. Naast de tiener in Engeland, wordt een tiener uit Brazilië in verband gebracht met de hackersgroep. Autoriteiten hebben deze tieners nog niet beschuldigd.
Human hacking
In eerste instantie dachten de cybersecurity-onderzoekers dat een groot deel van de hacks van Lapsus$ geautomatiseerd waren. De tiener bleek echter handmatig te werk te gaan. Hij is simpelweg erg bekwaam en snel.
Slachtoffer | Website | Land | |
---|---|---|---|
Okta.com | LAPSUS$ | okta.com | USA |
MS | LAPSUS$ | azure.microsoft.com | USA |
LGE.com | LAPSUS$ | lge.com | South Korea |
SAMSUNG | LAPSUS$ | www.samsung.com | South Korea |
NVIDIA | LAPSUS$ | nvidia.com | USA |
Localiza | LAPSUS$ | localiza.com | Brazil |
SIC | LAPSUS$ | sic.pt | Portugal |
Claro | LAPSUS$ | www.claro.com | Mexico |
Ministério da Saúde | LAPSUS$ | www.gov.br | Brazil |
Lapsus$ staat verder bekend om zijn brutaliteit. De hackers maken hun slachtoffers bijvoorbeeld online belachelijk wanneer ze source codes of interne documenten lekken. Ze gaan zelfs zo ver dat ze Zoom-calls tussen medewerkers van de getroffen bedrijven binnenvallen.
Online is de tiener bekend onder de aliassen ‘White’ en ‘breachbase’. Zijn echte identiteit is echter niet goed beschermd gebleven. Twee van de onderzoekers stelden dat de hele Lapsus$ groep operationele beveiliging mist. Cybersecurity-bedrijven kunnen zo erg gemakkelijk persoonlijke informatie van de leden achterhalen.
Sporen niet verborgen
Microsoft schrijft in een blogpost: “In tegenstelling tot de meeste hackersgroepen die verborgen blijven, lijkt DEV-0537 zijn sporen niet te verbergen”. DEV-0537 is hierbij de benaming die Microsoft aan Lapsus$ heeft gegeven. Microsoft verklaart verder dat de groep “zelfs hun aanvallen op social media aankondigen of reclame maken voor hun intentie om inloggegevens van werknemers van de doelorganisatie te kopen”.
Persoonlijke informatie van de tiener uit Oxford was bovendien online te vinden. Andere hackers hebben onder andere zijn adres en informatie over zijn ouders gelekt. Bloomberg heeft op basis van deze informatie de moeder van de hacker opgespoord voor een interview.
Gesprek met de moeder
De vrouw vertelde zelf niet op de hoogte te zijn van de beschuldigingen aan het adres van haar kind. Ze was wel erg verontrust over het feit dat er video’s en foto’s van haar huis en het huis van de vader van haar zoon rondgaan op het internet.
Ze bevestigde dat de vermeende hacker bij haar woonde. Ook zou haar kind door anderen lastiggevallen worden thuis. Veel andere gelekte details kon ze echter niet bevestigen of ontkennen. Ook weigerde ze in te gaan op een formeel interview of op een interview met haar kind. Ze zal eerst contact opnemen met de politie.
Officiële instanties, namelijk de National Crime Agency in het Verenigd Koninkrijk, de Thames Valley Police in Oxford en de FBI in de Verenigde Staten, weigerden te reageren.
Vader wist van niets
De vader van de tiener zei tegen de BBC dat hij van niets wist. "Ik had hier tot voor kort nog nooit van gehoord. Hij heeft het nooit over hacken gehad, maar hij is erg goed met computers en brengt er veel tijd op door. Ik dacht altijd dat hij spelletjes aan het spelen was."
Hij zegt dat de familie er nu alles aan zal doen om de jongen van zijn computer weg te houden. De moeder van de jongeman wenste geen commentaar te geven.
The LAPSUS$ ransomware group appear to be incredibly inexperienced with OPSEC. They posted their message boasting about access to Microsoft's internal DevOps environment *while still exfiltrating source code*. We can tell by looking at the timestamp of the files in their leak. 🤦♂️ https://t.co/NaU38cypUw pic.twitter.com/AryXJS12A1
— Bill Demirkapi @ ShmooCon (@BillDemirkapi) March 22, 2022
Lapsus$ met vakantie
Na de hack op authenticatiesoftwarebedrijf Okta eerder deze week, suggereerde Lapsus$ dat de groep even pauze houdt. Op Telegram zegt een lid: “Enkele van onze leden hebben vakantie tot 30/3/2022. We kunnen een tijd stil zijn. Dankjewel voor het begrip. We zullen zo snel mogelijk dingen proberen te lekken”.
Bron: microsoft.com, bloomberg.com, vpngids.nl
Bekijk alle vormen en begrippen
Actuele aanvallen overzicht per dag
Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met Cybercrimeinfo.
Meer actueel nieuws
Meer cybercrime nieuws
Cybercrime - Preventie Loont (audio)
BNR: "Wordt je bedrijf getroffen door een cyberaanval, dan kan de schade flink in de papieren lopen. Steeds meer verzekeraars bieden daarom een cyberverzekering aan en steeds meer bedrijven sluiten hem af."
Het nieuwe decennium, nieuwe trends
Het nieuwe decennium is een paar dagen oud. Er staat een aantal trends te trappelen in de coulissen om het dagelijks leven te beïnvloeden. Anderen zijn al jaren met een opmars bezig, maar zijn voorlopig niet weg te denken.
Veiliger 'online' in 2020?
Het begin van een nieuw jaar is het perfecte moment om met nieuwe voornemens te starten. Hoewel sommigen kiezen voor extra te gaan sporten of het leren van een derde taal, is het ook een gelegenheid om enkele wijzigingen aan te brengen in de manier waarop u omgaat met uw digitale apparatuur.
Ze weten alles van me, hoe kan dit?
Hoe jaloerse partners en paranoïde werkgevers je kunnen bespioneren en waarom het gebruik van 'lege chip zakken' het beste kunnen worden overgelaten aan filmhelden.
Cybercriminelen weten als geen ander dat kleinere organisaties niet altijd even goed zijn beveiligd
Uit een recent onderzoek van het 'Ponemon Institute' was dit jaar meer dan de helft van het mkb in de Benelux slachtoffer van cybercrime. "Ik verwacht dat in 2020 het aantal cyberaanvallen op het mkb eerder toe- dan afneemt."
New Orleans (USA) verklaart noodtoestand na cyberaanval
De stad New Orleans heeft een cyberaanval ondergaan die ernstig genoeg is voor burgemeester LaToya Cantrell om de noodtoestand uit te roepen.
Cybercriminelen hergebruiken oude aanvalstechnieken
Cybercriminelen ontwikkelen niet alleen nieuwe malware en zero day-aanvallen, maar hergebruiken ook tactieken die in het verleden succesvol zijn gebleken. Daarmee kunnen ze zoveel mogelijk kansen binnen het aanvalsoppervlak benutten.
Cybercrime aanval: Het incident kostte hem uiteindelijk bijna 8 ton en betekende het einde van zijn bedrijf, zijn huis en zijn relatie!
Dat vroeg een agent aan ondernemer Xander Koppelmans toen die in 2015 aangifte deed van een ernstige cyberaanval op de ICT van zijn bedrijf. Het incident kostte hem uiteindelijk bijna 8 ton en betekende het einde van zijn bedrijf, zijn huis en zijn relatie. Hij vertelde zijn dramatische relaas tijdens het evenement in het NAC stadion te Breda 'Ik ben toch niet hack!?'
Cybercrime dreigingen 2020
Financiële cyberdreigingen worden beschouwd als een van de meest gevaarlijke cybercrime dreigingen. De impact die ze meestal veroorzaken resulteert direct in financiële schade voor de slachtoffers.
Sinterklaas en Hackpiet
Zwart, wit, geel of rood, door Cybercrime is er nood
Kinderlijk eenvoudig via Telegram
De politie moet de mogelijkheid krijgen om berichten die worden uitgewisseld via de chatdienst Telegram gericht te onderscheppen, als dat technisch mogelijk blijkt te zijn. Dat zegt CDA-woordvoerder Chris van Dam naar aanleiding van vragen van programma Opgelicht?! In die uitzending duiken ze in de schimmige wereld van deze chat-app en zien ze dat criminelen zich open en bloot schuldig maken aan strafbare praktijken.
Het is inmiddels niet meer de vraag of u een keer geraakt wordt door cybercrime, maar wanneer
Ruim de helft (55%) van alle MKB-organisaties is het afgelopen jaar een of meermaals slachtoffer geworden van cybercrime. Grote multinationals lopen nog altijd het meeste risico; 74% van de bedrijven met meer dan 1.000 werknemers kreeg te maken met digitale aanvallen.