T-Mobile atingido por violações de dados do grupo de extorsão Lapsus$

A T-Mobile foi vítima de uma série de violações de dados realizadas pelo grupo de crimes cibernéticos Lapsus$ em março. Em um post de sexta-feira, o site de segurança KrebsOnSecurity revelou mensagens de bate-papo vazadas entre membros da gangue Lapsus$, nas quais eles discutiram direcionar os funcionários da T-Mobile com táticas de engenharia social projetadas para dar a eles acesso ao número de telefone celular da vítima. Conhecida como troca de SIM, essa tática reatribui um número de telefone a um dispositivo de propriedade dos invasores, permitindo que eles interceptem mensagens de texto e chamadas telefônicas para redefinições de senha e códigos de autenticação multifator.

CONSULTE: Política de segurança de dispositivos móveis (TechRepublic Premium)

Usando as credenciais da T-Mobile VPN compradas na dark web, os membros do Lapsus$ puderam obter acesso ao Atlas, uma ferramenta da T-Mobile para gerenciar contas de clientes, de acordo com KrebsOnSecurity. Enquanto alguns membros da gangue discutiam se deveriam se concentrar na tática de troca de SIM, uma pessoa usou o acesso para executar um script automatizado que baixou mais de 30.000 repositórios de código-fonte da T-Mobile.

Em resposta aos incidentes, a T-Mobile compartilhou a seguinte declaração com KrebsOnSecurity:

“Várias semanas atrás, nossas ferramentas de monitoramento detectaram um mau ator usando credenciais roubadas para acessar sistemas internos que hospedam software de ferramentas operacionais”, disse T-Mobile. “Os sistemas acessados ​​não continham informações de clientes ou do governo ou outras informações confidenciais semelhantes, e não temos evidências de que o invasor tenha conseguido obter algo de valor. Nossos sistemas e processos funcionaram conforme projetado, a intrusão foi rapidamente encerrada e fechada e as credenciais comprometidas usadas tornaram-se obsoletas.”

Surgindo por volta de dezembro de 2021, o Lapsus$ ganhou fama com uma mistura de táticas diferentes, incluindo comprar dados roubados na dark web, escanear repositórios de código público em busca de credenciais expostas, usar ladrões de senhas, pagar funcionários para compartilhar dados confidenciais e empregar truques de engenharia social para obter acesso a contas confidenciais. Desde então, o grupo tem como alvo várias empresas de alto perfil, como Microsoft, Nvidia, Samsung e Okta.

“Esses ataques de alto perfil do Lapsus$ destacam o quão perigosos as credenciais roubadas e os ataques de engenharia social ainda permanecem”, disse Ivan Righi, analista sênior de inteligência de ameaças cibernéticas da Digital Shadows. “Os ataques Lapsus$ não são altamente sofisticados. Eles geralmente iniciam seus ataques usando credenciais roubadas e, em seguida, tentam contornar a autenticação multifator usando esquemas de engenharia social. É provável que a Lapsus esteja adquirindo essas credenciais em mercados clandestinos e sites de AVC, como o mercado russo, que oferecem uma variedade de credenciais para venda a um preço baixo.”

Ironicamente, os métodos explícitos de ataque e a predileção da gangue por chamar a atenção para si mesma causaram problemas com a aplicação da lei. Após os últimos ataques, vários membros ativos do Lapsus$ foram presos em março. Apesar dessas prisões importantes, no entanto, o grupo ainda parece estar no mercado, já que outros membros aproveitaram a folga realizando ataques adicionais.

Os métodos usados ​​pelo Lapsus$ também mostram claramente onde as organizações ainda falham quando se trata de segurança cibernética.

“Sem surpresa, credenciais roubadas continuam sendo o método preferido de comprometimento”, disse Tim Wade, vice-CTO da Vectra. “Talvez o que seja surpreendente para muitas organizações seja a quantidade de riscos existentes em torno das credenciais e a frequência com que a incapacidade de avaliar efetivamente os riscos à sua postura ou detectar e responder quando algo dá errado dá ao adversário a oportunidade de se posicionar. As organizações precisam pensar muito e intencionalmente não apenas em como gerenciarão os riscos na vanguarda, mas como descobrirão e expulsarão um adversário pós-compromisso.”

Muitas organizações se concentram em ferramentas e tecnologias de segurança, mas negligenciam o usuário.

“Os TTPs usados ​​pelo Lapsus$ não são novos, mas destacam uma fraqueza comum na segurança cibernética – o usuário”, disse Righi. “Mesmo os controles técnicos mais seguros podem ser ignorados por agentes de ameaças altamente qualificados em engenharia social, e os usuários que usam as mesmas credenciais em várias contas podem colocar suas organizações em risco.”

Mais organizações estão usando a autenticação multifator para proteger suas contas de usuário. Mas o tipo de MFA implementado faz uma grande diferença na segurança. Os ataques encenados pelo Lapsus$ apontam para os perigos do uso de mensagens SMS ou ligações telefônicas para MFA, de acordo com Righi, já que o grupo confiou em esquemas de engenharia social baseados em telefone para comprometer contas.