Um novo relatório do NCC Group revelou como os ataques do Lapsus$ são lançados. O relatório divulga detalhes sobre as técnicas e táticas dos ataques altamente imprevisíveis e como o grupo visa suas vítimas.

Nos últimos cinco meses, o Lapsus$ ganhou notoriedade com violações bem-sucedidas de Microsoft, Nvidia, Okta e Samsung. Em um caso, o grupo Lapsus$ empregou nada mais do que a ferramenta genuína da Sysinternals ADExplorer, que foi usada para realizar o reconhecimento do ambiente da vítima.

O grupo também usou cookies de autenticação roubados usados para aplicativos SSO para entrar inicialmente nos sistemas das vítimas e comprometer o Microsoft SharePoint para encontrar credenciais na documentação técnica.

O grupo Lapsus$ obtém acesso a gerenciadores de senhas e bancos de dados locais para adquirir credenciais e escalar privilégios.

Em vez de roubar informações pessoais, a Lapsus$ se concentra em obter código-fonte e propriedade intelectual.

Além disso, o grupo clona repositórios git e extrai chaves de API sensíveis.

Depois que os dados são roubados, o grupo interrompe e destrói ambientes de nuvem, visando especificamente a infraestrutura VMware ESXi local para ocultar seus rastros.