Cybersecurity-onderzoekers van Microsoft en Nvidia hebben de recente hacks van Lapsus$ op deze bedrijven herleid naar een tiener in Oxford. De zestienjarige zou nog bij zijn moeder wonen, maar wel het mastermind achter de aanvallen zijn. Dit meldt Bloomberg.
De onderzoekers herleidden enkele grote hacks afgelopen maanden naar de tiener met behulp van forensische aanwijzingen binnen de bedrijven. Ook gingen ze af op openbare informatie, zoals informatie op social media.
In totaal heeft de onderzoeksgroep zeven unieke accounts binnen Lapsus$ geïdentificeerd. Naast de tiener in Engeland, wordt een tiener uit Brazilië in verband gebracht met de hackersgroep. Autoriteiten hebben deze tieners nog niet beschuldigd.
Human hacking
In eerste instantie dachten de cybersecurity-onderzoekers dat een groot deel van de hacks van Lapsus$ geautomatiseerd waren. De tiener bleek echter handmatig te werk te gaan. Hij is simpelweg erg bekwaam en snel.
| Slachtoffer | Website | Land | |
|---|---|---|---|
| Okta.com | LAPSUS$ | okta.com | USA |
| MS | LAPSUS$ | azure.microsoft.com | USA |
| LGE.com | LAPSUS$ | lge.com | South Korea |
| SAMSUNG | LAPSUS$ | www.samsung.com | South Korea |
| NVIDIA | LAPSUS$ | nvidia.com | USA |
| Localiza | LAPSUS$ | localiza.com | Brazil |
| SIC | LAPSUS$ | sic.pt | Portugal |
| Claro | LAPSUS$ | www.claro.com | Mexico |
| Ministério da Saúde | LAPSUS$ | www.gov.br | Brazil |
Lapsus$ staat verder bekend om zijn brutaliteit. De hackers maken hun slachtoffers bijvoorbeeld online belachelijk wanneer ze source codes of interne documenten lekken. Ze gaan zelfs zo ver dat ze Zoom-calls tussen medewerkers van de getroffen bedrijven binnenvallen.
Online is de tiener bekend onder de aliassen ‘White’ en ‘breachbase’. Zijn echte identiteit is echter niet goed beschermd gebleven. Twee van de onderzoekers stelden dat de hele Lapsus$ groep operationele beveiliging mist. Cybersecurity-bedrijven kunnen zo erg gemakkelijk persoonlijke informatie van de leden achterhalen.
Sporen niet verborgen
Microsoft schrijft in een blogpost: “In tegenstelling tot de meeste hackersgroepen die verborgen blijven, lijkt DEV-0537 zijn sporen niet te verbergen”. DEV-0537 is hierbij de benaming die Microsoft aan Lapsus$ heeft gegeven. Microsoft verklaart verder dat de groep “zelfs hun aanvallen op social media aankondigen of reclame maken voor hun intentie om inloggegevens van werknemers van de doelorganisatie te kopen”.
Persoonlijke informatie van de tiener uit Oxford was bovendien online te vinden. Andere hackers hebben onder andere zijn adres en informatie over zijn ouders gelekt. Bloomberg heeft op basis van deze informatie de moeder van de hacker opgespoord voor een interview.
Gesprek met de moeder
De vrouw vertelde zelf niet op de hoogte te zijn van de beschuldigingen aan het adres van haar kind. Ze was wel erg verontrust over het feit dat er video’s en foto’s van haar huis en het huis van de vader van haar zoon rondgaan op het internet.
Ze bevestigde dat de vermeende hacker bij haar woonde. Ook zou haar kind door anderen lastiggevallen worden thuis. Veel andere gelekte details kon ze echter niet bevestigen of ontkennen. Ook weigerde ze in te gaan op een formeel interview of op een interview met haar kind. Ze zal eerst contact opnemen met de politie.
Officiële instanties, namelijk de National Crime Agency in het Verenigd Koninkrijk, de Thames Valley Police in Oxford en de FBI in de Verenigde Staten, weigerden te reageren.
Vader wist van niets
De vader van de tiener zei tegen de BBC dat hij van niets wist. "Ik had hier tot voor kort nog nooit van gehoord. Hij heeft het nooit over hacken gehad, maar hij is erg goed met computers en brengt er veel tijd op door. Ik dacht altijd dat hij spelletjes aan het spelen was."
Hij zegt dat de familie er nu alles aan zal doen om de jongen van zijn computer weg te houden. De moeder van de jongeman wenste geen commentaar te geven.
The LAPSUS$ ransomware group appear to be incredibly inexperienced with OPSEC. They posted their message boasting about access to Microsoft's internal DevOps environment *while still exfiltrating source code*. We can tell by looking at the timestamp of the files in their leak. 🤦♂️ https://t.co/NaU38cypUw pic.twitter.com/AryXJS12A1
— Bill Demirkapi @ ShmooCon (@BillDemirkapi) March 22, 2022
Lapsus$ met vakantie
Na de hack op authenticatiesoftwarebedrijf Okta eerder deze week, suggereerde Lapsus$ dat de groep even pauze houdt. Op Telegram zegt een lid: “Enkele van onze leden hebben vakantie tot 30/3/2022. We kunnen een tijd stil zijn. Dankjewel voor het begrip. We zullen zo snel mogelijk dingen proberen te lekken”.
Bron: microsoft.com, bloomberg.com, vpngids.nl
Bekijk alle vormen en begrippen
Actuele aanvallen overzicht per dag
Heeft u tips of verdachte activiteiten gezien online? Neem dan contact op met Cybercrimeinfo.
Meer actueel nieuws
Meer cybercrime nieuws
Nederland is niet goed voorbereid op Cyberaanval
Nederland moet zich beter voorbereiden op grote cyberaanvallen en ingrijpende digitale storingen. Dat geldt niet alleen voor de overheid, maar ook voor bedrijven en de samenleving als geheel. De impact van cyberaanvallen en/of digitale storingen ontwrichtingen kunnen het land namelijk ontwrichten, zegt de Wetenschappelijke Raad voor het Regeringsbeleid (WRR) maandag in een advies.
Interne netwerk van tientallen Nederlandse bedrijven en organisaties staat wagenwijd open voor hackers
Het interne netwerk van tientallen grote Nederlandse bedrijven, organisaties en overheden staat wagenwijd open voor hackers. Dat blijkt uit onderzoek van Ralph Moonen van beveiligingsbedrijf Secura, waarvan de resultaten aan BNR zijn bevestigd door twee andere beveiligingsbedrijven.
Cyberaanval die in eerste instantie enkel gericht leek te zijn op iPhone, blijkt groter te zijn dan gedacht
Een cyberaanval die in eerste instantie enkel gericht leek te zijn op iPhone, blijkt groter te zijn dan gedacht. Ook Google's eigen mobiele besturingssysteem Android en Windows PC's zijn via dezelfde website aangevallen.
Twee stappen verificatie voorkomt 99,9 procent van Cyberaanvallen
Twee Stappen verificatie (2FA), zoals het gebruik van een extra code tijdens het inloggen, voorkomt 99,9 procent van de aanvallen op accounts, zo stelt Microsoft. De softwaregigant laat weten dat het dagelijks meer dan 300 miljoen frauduleuze inlogpogingen op de eigen clouddiensten ziet.
Cybercrime georganiseerde professionele bendes
Cybercrime komt steeds vaker voor, maar wie zit er achter deze aanvallen? In ieder geval niet de 'computer nerd' die op zijn kamer wat code en scripts schrijft. Dat is een geromantiseerd beeld.
'Aantal cyberaanvallen stijgt naar recordhoogte'
Er was sprake van een stijging van bijna 4% ten opzichte van het voorgaande jaar. Dit was het gevolg van toenemende activiteit op het gebied van malware en exploits (misbruik van kwetsbaarheden). Een gedetailleerde bespreking van de Threat Landscape Index en de subindexen voor exploits, malware en botnets, compleet met speciale aanbevelingen voor CISO’s, is te vinden op het blog van Fortinet.
Cybercrime jurisprudentieoverzicht: juli en augustus 2019
Met een vonnis “nieuwe stijl” heeft de rechtbank Rotterdam op 16 juli 2019 een verdachte veroordeeld (ECLI:NL:RBROT:2019:5630) voor drugshandel via het darkweb en het aanwezig hebben van de illegale handelsvoorraad. De verdachte heeft naar schatting meer dan 500 kg drugs verkocht en miljoenen omzet gehad. De bedenker, organisator en leidinggevende van het “bedrijf” krijgt zeven jaar gevangenisstraf opgelegd. In een afzonderlijk ontnemingsvonnis wordt bovendien ruim 1 miljoen euro afgenomen.
Noord-Korea 2 miljard euro gestolen met cyberaanvallen
Noord-Korea heeft bijna 2 miljard euro gestolen met cyberaanvallen op banken en beurzen voor cryptomunten. Dat staat in een rapport van de Verenigde Naties, meldt persbureau Reuters. Het geld wordt gebruikt om het wapenprogramma van het land te bekostigen.
FBI directeur "criminelen aangetrokken tot versleuteld communiceren"
Criminelen voelen zich aangetrokken tot versleutelde communicatie en apparaten omdat ze denken dat ze hierdoor zonder consequenties en te worden ontdekt hun misdrijven kunnen plegen, zo stelt FBI-directeur Christopher Wray. Wray sprak tijdens een conferentie van de FBI over cybersecurity. Tijdens dezelfde conferentie pleitte de Amerikaanse minister van Justitie William Barr voor een einde aan end-to-end-encryptie.
CBS: Ruim miljoen Nederlanders slachtoffer van Cybercrime
In 2018 gaf 8,5 procent van de internetgebruikers van 12 jaar of ouder aan in de afgelopen twaalf maanden slachtoffer te zijn geweest van digitale criminaliteit. Dat komt neer op ruim 1,2 miljoen mensen. Vooral jongeren waren slachtoffer. Vermogensdelicten kwamen het vaakst voor. Dat meldt het CBS op basis van het vandaag verschenen onderzoek 'Digitale Veiligheid en Criminaliteit'.
Kritieke lekken in industriële software maken Stuxnet-opvolger mogelijk
Industriële controlesoftware is nog steeds lek als een zeef. Nieuw onderzoek vindt een handvol kritieke bugs met mogelijks verregaande gevolgen als ze uitgebuit worden in software van onder andere Siemens en Fuji Electric.
De bankovervallen van de toekomst zijn 'Digitaal'
Het moderne financiële systeem draait op computers en het internet. Deze technologieën stellen banken in staat om wereldwijd en met ongekende snelheid geld te verplaatsen, klanten te bedienen en leningen te verstrekken. Maar deze tech heeft ook de manier waarop cybercriminelen te werk gaan veranderd. In plaats van banken te overvallen met bivakmutsen en wapens, maken ze nu steeds meer gebruik van digitale tools om rekeningen te plunderen zonder dat ze gepakt worden. In 2018 rapporteerde bijvoorbeeld meer dan twee derde van de financiële instellingen een stijging in het aantal cyberaanvallen.