Um dos gangues de cibercriminosos mais activos da actualidade e que tem criado sérios danos nos países lusófonos (o SNS do Brasil e a Vodafone, Parlamento, Expresso e a SIC) é conhecido como LAPSUS$ ou DEV-0537. Em 25 de março a polícia de Londres realizou uma série de detenções de indivíduos ligados ao LAPSUS$ e, de facto, há dias, surgiu no canal Telegram do grupo a mensagem: "A few of our members has a vacation until 30/3/2022. We might be quiet for some times. Thanks for understand us - we will try to leak stuff ASAP.". É provável que por uns tempos não ouçamos mais falar deste grupo... mas tudo indica que contêm membros na América do Sul (muito provavelmente no Brasil) que continuam a iludir as autoridades pelo que é certo que tornaremos a ouvir falar do LAPSUS$. O LAPSUS$ distingue-se de outros grupos semelhantes por se concentrar num modelo diferente da maioria: enquanto grupos como o Conti (agora desorganizado em consequência da guerra na Ucrânia) se dedicam a operações mais convencionais de ransomware este grupo usava um modelo mais convencional de extorsão e, sobretudo, são muito comunicativos no que respeita aos seus alvos: publicam os seus "feitos" num canal no telegram, enviam informação aos Media, coloquem frase de defacement no sites atacados, invadem sessões de zoom de funcionários das empresas atacadas e publicam ofertas na dark web por vendas de credenciais e acessos MFA (!) em troca de alguns milhares de euros (num caso terão oferecido 20 mil dólares por uma password de uma conta numa organização alvo). Métodos: O LAPSUS$ ou DEV-0537 usa (ou "usava" se acreditarmos que as detenções de março vão interromper a actividade criminosa o grupo) várias técnicas para conseguir penetrar nas redes das vítimas: 1. Engenharia social através de chamadas telefónicas directas para alvos nas organizações visitadas. 2. SIM-swapping para conseguir controlar contas de funcionários e aceder assim ao seu correio electrónico e códigos MFA. 3. Pagamentos a funcionários, fornecedores e parceiros de negócio das organizações visadas como forma de conseguir o acesso inicial e ultrapassar, assim, as validações MFA. Métodos de "engenharia social" do LAPSUS$ ou DEV-0537 e como se proteger: 1. Muitas das técnicas do grupo baseiam-se na recolha prévia de informações sobre as contas visadas, organização interna, contactos internos e designação das equipas e nomes de departamentos. Evite divulgar para o exterior e faça-o apenas numa base de "precisa de saber" uma vez que têm usado estes dados como forma de fazerem "impersonating" de técnicos de helpdesk e conseguirem assim credenciais e autorizações MFA das vítimas. 2. Em alguns casos bombardearam a conta de um utilizador da qual tinham antes obtido a password com vários pedidos MFA: quando o alvo cedeu e autorizou um conseguiram o acesso de que precisavam. Instrua os seus utilizadores a autorizarem apenas acessos MFA que são, efectivamente, geridos por si e quando estes surgem em contas partilhadas instrua todos a comunicarem entre si antes de autorizarem qualquer acesso. 3. Pelo menos num caso telefonaram para o Helpdesk da organização usando o nome de um utilizador real pedindo o reset da sua password conseguindo assim o acesso desejado. Instrua o seu helpdesk para nunca enviar passwords por mail ou de viva voz mas apenas por SMS para o telefone associado a esse utilizador. Métodos "técnicos" do LAPSUS$ ou DEV-0537 e como se proteger: 1. Instalar nas máquinas das vítimas o Readline um "password stealer" que recolhe passwords e session tokens 2. Compra de credenciais em fóruns na darkweb 3. Corrupção de colaboradores ou parceiros em troca da cedência de passwords e acessos MFA 4. Pesquisa em repositórios públicos (Github e bases de dados de credenciais comprometidas) Com as credenciais obtidas pelos métodos sociais e técnicos acima descritos o LAPSUS$/DEV-0537 toma accesso às redes e sistemas das organizações-alvo: 1. Frequentemente tenta aceder às VPNs especialmente se estas forem legacy e não tiverem sistemas de certificados nem MFA. 2. Os servidores RDC internos e, sobretudo, os expostos na Internet são outro alvo preferencial assim como sistemas de"virtual desktop infrastructure" (VDI) como os da Citrix 3. Outros alvos habituais são "Identity providers" como o Azure Active Directory ou a recentemente exposta (via parceiro) Okta. Nestes dois casos usam uma série de pedidos de MFA até que o alvo se canse e acabe por aprovar o acesso. 4. Em alguns casos preferem visar o computador e contas pessoais de um alvo profissional para depois recolher dados que podem usar num segundo ataque contra a organização da vítima quer como "password guessing" quer para conhecer melhor a sua organização interna quer para conseguir acesso aos telefones e telemóveis pessoais para intercepção das credenciais e acessos MFA. 5. Pelo menos num caso o LAPSUS$/DEV-0537 conseguiu convencer o alvo a instalar o AnyDesk e a entrar assim no computador e rede da vítima instalando depois formas persistentes de acesso. 6. Após conseguirem acesso o grupo normalmente entra na rede local através da VPN corporativa tendo, em alguns casos, criado novos computadores adiciona à Active Directory. A partir daqui encetam um processo de captura de outras credenciais de outros utilizadores. 7. O grupo usa frequentemente o adfind.exe: uma ferramenta que lista todas as contas e grupos na ActiveDirectory pelo que poderá ter interesse em barrar o uso dessa ferramenta em todas as máquinas que não sejam das áreas que, efectivamente, precisam dela. 8. Com a conta a que obtiveram acesso procuram no Sharepoint, Confluence, JIRA, GitLan e GitHub, Teams e Slack por mais dados que lhes permitam obter outras credenciais: por essa razão nunca os deve usar para partilhar passwords (nem ao Outlook: aliás) 9. São também conhecidos por usarem extensivamente ferramentas como o Mimikatz para conseguirem credenciais de administração que depois usam para extrair a base de dados da AD. 10. Houve casos em que o LAPSUS$/DEV-0537 ligou para o telefone da organização visada pedindo o reset de contas de administração de domínio AD. 11. Para contornar mecanismos de condicionamento geográfico (como, os por exemplo, disponíveis, no Office365 com o Conditional Access) o grupo usa ligações NordVPN com IPs nos países do alvo. Esperamos ter deixado alguns conselhos úteis! CpC - Cidadãos pela Cibersegurança