O impacto global do ataque do grupo de ransomware Lapsus$ à Okta

De acordo com um comunicado oficial da Okta, a empresa está investigando uma violação em seus sistemas depois que o Lapsus$ publicou uma mensagem em seu grupo oficial no Telegram, alegando que eles a invadiram, porém “não roubaram ou acessaram nenhum banco de dados Okta”. O alvo do ataque, segundo o Lapsus$, não era a Okta, mas os seus clientes.

“O Lapsus$ é um grupo de hackers do Brasil que recentemente foi associado a ciberataques de organizações de alto perfil. Esta gangue cibernética é conhecida por extorsão, ameaçando a divulgação de informações confidenciais, caso as demandas de suas vítimas não sejam atendidas. O grupo ostentou a invasão às empresas NVIDIA, Samsung, Ubisoft e outras. Como o grupo conseguiu violar esses alvos, isso nunca ficou totalmente claro para o público. Se for verdade, a violação na Okta pode explicar como o Lapsus$ conseguiu alcançar seus sucessos recentes”, relata Lotem Finkelstein, chefe de Inteligência de Ameaças da Check Point Software Technologies.

“Milhares de empresas usam produtos Okta para proteger e gerenciar suas identidades. Por meio de chaves privadas recuperadas no Okta, o grupo Lapsus$ pode ter acesso a redes e aplicativos corporativos. Portanto, uma violação na empresa Okta pode levar a consequências potencialmente desastrosas”, alerta Finkelstein.

O grupo Lapsus$ iniciou sua atividade em dezembro de 2021. A maioria de suas atividades tem o foco na violação de diferentes órgãos e agências governamentais e empresas de tecnologia. Desde o início de suas operações, a gangue cibernética tem sido vista como um “grupo de ransomware”, embora seu modus operandi até agora tenha sido muito diferente daquele de um “grupo de ransomware regular”, pois não faz criptografia dos sistemas de seus vítimas.

O Lapsus$ mantém um grupo muito ativo no aplicativo Telegram, com mais de 35 mil assinantes, publicando anúncios sobre suas violações concluídas e dados roubados. A verdadeira motivação do grupo ainda não está clara, mesmo que ele afirme ser por razões puramente financeiras. Este grupo tem um forte envolvimento com seus seguidores e até publica pesquisas interativas sobre quem deve ser seu próximo alvo.

A primeira violação proclamada pelo grupo Lapsus$ foi contra o Ministério da Saúde do Brasil e outros órgãos governamentais em dezembro de 2021.

Desde o início de 2022, o Lapsus$ acelerou seu alcance cibernético e esteve envolvido em violações de dados de várias grandes empresas de tecnologia em todo o mundo, como NVIDIA, Samsung, Ubisoft e, supostamente, Microsoft. O foco do grupo nesses gigantes de tecnologia estava principalmente no código-fonte.

No dia 22 de março, o grupo anunciou em seu canal no Telegram que tinha acesso seguro a uma conta de administrador da Okta, empresa de serviços de autenticação e identidade, incluindo acesso a vários de seus sistemas internos, alegando que seu objetivo final é, de fato, os clientes da empresa e não a própria Okta.

Ainda não está claro como o Lapsus$ viola suas vítimas, mas com base em suas publicações, há duas hipóteses possíveis:

. Invasões via cadeia de suprimentos: violar provedores de serviços, como a Okta, para obter acesso a seus clientes.
. Recrutamento de insiders em grandes corporações.

“Nossa forte recomendação é para que os clientes da Okta tenham extrema vigilância e adotem as práticas de cibersegurança. A extensão total dos recursos do Lapsus$ poderá ser revelada nos próximos dias”, informa Finkelsteen.