[bsa_pro_ad_space id=3 delay=8]

Grupo Lapsus$ rouba código-fonte da T-Mobile

Levantamento em bate-papo privado entre membros do grupo revelou que os cibercriminosos tiveram acesso a informações sigilosas em meio a vários ataques que ocorreram em março deste ano. Em comunicado, companhia ressaltou que as tecnologias de monitoramento detectaram um mau ator usando credenciais roubadas para acessar sistemas internos

Compartilhar:

Uma revisão realizada pelo website Krebs on Security revelou uma cópia de mensagens de bate-papo privado entre membros do grupo de crimes cibernéticos Lapsus$ sobre a violação contra a T-Mobile. Os cibercrimiosos postaram informações que indicam o roubo de código-fonte de uma série de projetos da empresa. Em comunicado, a T-Mobile diz que nenhuma informação do cliente ou do governo foi roubada na invasão.

 

Os logs indicam que o grupo teve zero problemas para comprar, roubar ou bajular as contas dos funcionários das empresas que eles queriam invadir. O maior desafio para o Lapsus$ foi o assunto mencionado por “Lapsus Jobs” na captura abaixo: Cadastro de dispositivos. Na maioria dos casos, isso envolveu funcionários de engenharia social da empresa-alvo para adicionar um de seus computadores ou celulares à lista de dispositivos autorizados a autenticar com a VPN da empresa.

 

 

 

Mensagens de bate-papo – grupo cibercriminosos

 

As mensagens mostram que os membros do Lapsus$ visavam continuamente os funcionários da T-Mobile, cujo acesso às ferramentas internas da empresa poderia dar a eles tudo o que precisavam para realizar “trocas de SIM” – reatribuindo o número de telefone celular de um alvo a um dispositivo que eles controlavam. Essas trocas não autorizadas permitem que um invasor intercepte as mensagens de texto e chamadas telefônicas de um alvo, incluindo quaisquer links enviados por SMS para redefinições de senha ou códigos únicos enviados para autenticação multifator. 

 

“Várias semanas atrás, nossas ferramentas de monitoramento detectaram um mau ator usando credenciais roubadas para acessar sistemas internos que abrigam software de ferramentas operacionais”, disse a T-Mobile em comunicado. “Nossos sistemas e processos funcionaram conforme projetado, a intrusão foi rapidamente encerrada e fechada e as credenciais comprometidas usadas tornaram-se obsoletas”, completa.

 

O Telegram é o aplicativo de mensagens mais utilizado pelo Lapsus$ e por outros grupos cibercriminosos. Nas páginas que circulam no aplicativo, os usuários podem encontrar vários links suspeitos, ofertas de “empregos” em organizações criminosas e até mesmo enquetes para serem votadas, indicando quais empresas poderiam ser a próxima vítima de ciberataque. A T-Mobile estava nessa enquete publicada pelo grupo em meados de março deste ano.

 

Em agosto do ano passado, a T-Mobile confirmou ao mercado que sofreu um ataque cibernético altamente sofisticado em seus sistemas. Segundo informações divulgadas, uma análise preliminar revelou que aproximadamente 7,8 milhões de informações atuais de contas de clientes pós-pagos parecem estar contidas nos arquivos roubados, bem como pouco mais de 40 milhões de registros de clientes anteriores ou potenciais que já haviam solicitado crédito da companhia.

 

Na ocasião, a T-Mobile empresa ressaltou que nenhum número de telefone, número de conta, PIN, senha ou informação financeira foi comprometido em qualquer um desses arquivos de clientes ou clientes em potencial.

 

O Lapsus$ é um dos grupos de cibercriminosos que está em alta no mercado brasileiro. O ataque aos sistemas do Ministério da Saúde foi o mais impactante nos últimos meses, pois ganhou manchetes em todo o Brasil devido ao estrago causado, como apagão de dados da Covid no país e desaparecimento dos certificados de vacinação no aplicativo. Além disso, o grupo reivindica vários outros ataques, como à Samsung e NVIDIA.

 

*Com informações do Krebs on Security

Conteúdos Relacionados

Security Report | Destaques

AWS: Descentralização permite priorizar cultura de Segurança nas empresas

O representante de Segurança Cibernética da Amazon Web Services na América Latina, Marcello Zillo, conversou com jornalistas durante o re:Inforce...
Security Report | Destaques

Deputados do Partido Liberal são alvos de hacktivismo nas redes

No último fim de semana, membros da bancada do partido na Câmara tiveram sites oficiais e contas nas redes sociais...
Security Report | Destaques

73% das violações no mundo ocorreram por ransomware, alerta SEK

Baseada nos números gerados pelos mais de um milhão de alertas no SOC da companhia, o estudo Think Ahead Report...
Security Report | Destaques

Eneva e Allos são Cases em destaque no Security Leaders Rio

O Congresso será realizado no dia 20 de junho na cidade maravilhosa e com discussões pautadas em maturidade cibernética a...