EA, Nvidia, Samsung, Ubisoft, Microsoft. Vittime eccellenti di un gruppo hacker che sta entrando nei server delle più grandi aziende al mondo. Ma quando Londra ha arrestato sette dei probabili membri del collettivo, ha scoperto chi sono davvero gli hacker di Lapsus$: un gruppo di teenager inglesi fra i 16 e i 21 anni. Ragazzi che stanno hackerando alcuni dei più importanti bersagli al mondo. Ma chi sono davvero gli hacker del gruppo Lapsus$ e cosa vogliono?
Chi sono gli hacker del gruppo Lapsus$
Negli ultimi due anni abbiamo parlato molto più spesso di attacchi hacker contro grandi aziende, rese più vulnerabili perché non hanno gestito in maniera sicura lo smart working. E nell’ultimo mese abbiamo riportato la cronaca della cyber war fra il Cremlino e i collettivi di hacker come Anonymous o la IT Army for Ukraine.
Quindi quando sono arrivate le notizie degli attacchi hacker a Microsoft, Okta, Samsung e Nvidia, molti commentatori hanno pensato a un altro capitolo di un conflitto informatico di portata globale. Quindi lo stupore è stato enorme quando la polizia di Londra ha arrestato sette adolescenti accusati di essere membri del gruppo, guidato da un ragazzo che ha solo 16 anni.
L’ascesa di questo gruppo è stata fulminea e micidiale. E l’obiettivo non ha nulla a che fare con la geopolitica: si tratta di denaro. Ma forse non solo.
Dagli esordi agli attacchi ai più grandi gruppi mondiali
Se i colpi portati a segno sono eclatanti, nei piani di Lapsus$ si legge spesso la loro inesperienza. Ne ha avuto prova il giornalista di Vice Joseph Cox, che nel suo articolo racconta di come ha conosciuto gli hacker. Cox aveva riportato la notizia dell’attacco subito da Electronic Arts (EA), cui avevano sottratto una grande quantità di dati. Fra questi il codice sorgente di FIFA e il motore di gioco Frostbite, oltre a molti strumenti per programmatori. Un bottino enorme, che però non sapevano esattamente come gestire.
Cox riceve quindi un messaggio: “Voglio mandare un messaggio a EA attraverso te”. I ragazzi non avevano idea di come contattare l’azienda e quindi hanno chiesto a un giornalista che aveva riportato la notizia, sperando che potesse fornire i contatti di qualche dirigente. Volevano estorcere del denaro ma non sapevano a chi mandare la e-mail del riscatto.
Cox non ha inoltrato le informazioni, evitando di fare da tramite per attività criminali e contattando le autorità. Ma ha approfittato del momento per fare qualche domanda: dopotutto non è un scagnozzo degli hacker, ma un giornalista. La domanda più ‘ingenua’ per gli hacker sembra quella sui loro motivo: “Qual è il movente dell’hack? Ovviamente i soldi, giusto?” rispondono.
Metodi crudi ma efficaci
Il gruppo ha continuato colpendo aziende sempre più grandi e importanti nel mondo dell’informatica. Microsoft, Okta e Nvidia hanno il potenziale di aprire le porte a moltissimi altri attacchi, fornendo servizi a moltissime aziende tecnologiche (anche se i team IT stanno lavorando per impedirlo). Ma i metodi non sono particolarmente sofisticati. Anzi, sono quelli che più usati nel mondo del cybercrimine.
Le analisi degli esperti mostrano che gli hacker teenager hanno ottenuto l’accesso inviando e-mail di phishing ad alcuni dipendenti dell’azienda, convincendoli a scaricare malware o rubando loro in qualche modo le credenziali. Oppure hanno comprato nel dark web password e codici che qualche altro hacker ha rubato al posto loro.
Gli hacker del gruppo Lapsus$ hanno usato tecniche di social engineering per accedere ai dati di un account di queste grandi aziende. A volte utilizzando la tecnica dello scambio di SIM, indirizzando messaggi destinati al numero di telefono di un dipendente dell’azienda verso un account di loro proprietà. In modo da ottenere le nuove password o i codici dell’autentificazione a due fattori. Per questi colpi potrebbe essere tornato utile l’aver attaccato anche alcune aziende di telecomunicazione, come Vodafone Portugal, in passato.
Tuttavia, negli ultimi attacchi portati a segno gli hacker hanno dimostrato di sapere usare anche metodi più sofisticati, una volta ottenuto l’accesso con l’ingegneria sociale. Per esempio usando software per rubare le password e sfruttare le vulnerabilità di sistema, come racconta la stessa Microsoft nell’analisi dell’attacco che ha subito.
Chi sono gli hacker di Lapsus$ e come si fanno pubblicità
L’escalation di chi Lapsus$ ha saputo colpire sembra evidente, con nuovi colpi sempre più efficaci e clamorosi. Anche se con il senno di poi alcuni analisti hanno raccontato che i segni dell’inesperienza erano visibili. Per esempio, una delle richieste per il ransomware di Nvidia era di rendere le schede grafiche atte al mining di Bitcoin.
Ma qualcosa in cui gli hacker hanno primeggiato è l’abilità nel richiamare l’attenzione su di sé. Il collettivo utilizza due canali Telegram, uno in cui solamente il gruppo può postare link di colpi portati a segno e per il download di dati rubati. Un altro invece è una chat in cui parlare con il loro ‘pubblico’, fra cui ci sono anche giornalisti interessati a capire le dinamiche del gruppo. Che ha più di 10 mila membri che postano soprattutto meme e prese in giro fra i membri del gruppo.
Lapsus$ però usa questa chat anche per chiedere ai propri ‘fan’ quali aziende attaccare in seguito. Vantandosi dei colpi, come se la pubblicità fosse un fine in sé. Rendere pubblici questi attacchi può rendere meno probabile che un’azienda paghi il riscatto richiesto. Essere famigerati può diventare un impedimento all’essere ricchi nel mondo hacker, ma i teenager di Lapsus$ sembrano disposti ad accettare compromessi.
Troppi nemici potenti
Dopo l’attacco ad Okta, che gestisce le chiavi di autentificazione di grandi aziende ma anche di organizzazioni governative negli USA, anche la CISA (Cybersecurity and Infrastructure Security Agency) ha puntato il mirino sul gruppo. Che si sono aggiunti alle autorità brasiliane dopo l’attacco al Ministero della Salute.
Ma secondo Bloomberg, ha trovare i ragazzi inglesi potrebbe essere stato una squadra di ricercatori di cybersecurity assoldata dalle società attaccate nelle ultime settimane.
Londra ha arrestato sette persone, per poi rilasciare pur tenendole sotto indagine. Questo potrebbe aver colto il fulcro del gruppo hacker Lapsus$. Ma al momento sembra impossibile valutare se tutti gli hacker coinvolti sono sotto indagine. Soprattutto, resta impossibile valutare se ci siano altri membri o possibili cybercriminali ‘ispirati’ da Lapsus$. Dei diecimila membri del canale Telegram, non tutti sono giornalisti e membri delle forze dell’ordine.
- Proteggere più dispositivi, tra cui PC, Mac, smartphone e tablet, contro malware, phishing e ransomware (fino a 5...
- Accedere alle app e ai siti Web preferiti con la connessione Wi-Fi, a casa o in viaggio, con la sicurezza della...
- Generare, memorizzare e gestire password, informazioni su carte di credito e altre credenziali online – in modo sicuro...
Rimani aggiornato seguendoci su Google News!
Da non perdere questa settimana su Techprincess
🍎Nuovi iPad e accessori: cosa aspettarsi dall’evento Apple del 7 maggio
🛒 Le migliori offerte della Amazon Gaming Week
🎮L’emulatore Nintendo Delta sta per arrivare su iPad
🪪Social card “Dedicata a te”:cos’è e come si potrà utilizzare il bonus da 460 euro
✒️ La nostra imperdibile newsletter Caffellattech! Iscriviti qui
🎧 Ma lo sai che anche Fjona ha la sua newsletter?! Iscriviti a SuggeriPODCAST!
📺 Trovi Fjona anche su RAI Play con Touch - Impronta digitale!
💌 Risolviamo i tuoi problemi di cuore con B1NARY
🎧 Ascolta il nostro imperdibile podcast Le vie del Tech
💸E trovi un po' di offerte interessanti su Telegram!
