# LAPSUS$ Extortion Campaign 2022 > [!high] Extorsão por Dados - Grupo de Adolescentes que Comprometeu Microsoft, Nvidia, Okta e Samsung > A campanha de extorsão LAPSUS$ de 2021-2022 representa um caso singular na história da cibersegurança: um grupo de cibercriminosos - liderado em parte por adolescentes britânicos e brasileiros - comprometeu algumas das maiores empresas de tecnologia do mundo usando engenharia social avançada, SIM swapping e corrupção de funcionários internos. O grupo abandonou o modelo tradicional de ransomware e operou com **extorsão por dados puros**, vazando código-fonte de Microsoft, Nvidia, Samsung e Okta no Telegram para pressionar vítimas. ## Visão Geral O [[g1004-lapsus]] (rastreado pela Microsoft como DEV-0537 e mais tarde Strawberry Tempest) surgiu em dezembro de 2021 com um ataque ao Ministério da Saúde do Brasil - primeiro alvo público confirmado do grupo. Nos meses seguintes, o grupo executou uma das campanhas de comprometimento mais bravas e públicas da história recente, visando empresas de tecnologia de alto perfil com uma métodologia incomum: engenharia social pura, sem exploit de vulnerabilidades técnicas. A estratégia operacional do [[g1004-lapsus]] era fundamentalmente diferente de outros grupos: em vez de explorar CVEs, o grupo recrutava ativamente funcionários de empresas-alvo - postando ofertas no Telegram pagando até USD 20.000 por semana para que insiders fornecessem VPN ou acesso a ferramentas internas. O grupo também comprava credenciais e tokens de sessão em marketplaces criminosos e usava SIM swapping para contornar autenticação de dois fatores por SMS. O modelo de extorsão era igualmente atípico: o grupo não criptografava dados com ransomware. Em vez disso, exfiltrava código-fonte, propriedade intelectual e dados sensíveis, e os públicava diretamente no Telegram - criando pressão pública imediata sobre as vítimas sem a necessidade de negociar descriptografia. Quando desafiados, o grupo respondeu tornando os dados ainda mais públicos. A conexão com o Brasil é direta e documentada: o grupo iniciou suas operações com alvos brasileiros (Ministério da Saúde, Claro, Embratel), tinha membros com raízes no Brasil, e o modus operandi de recrutamento de insiders em operadoras de telecomúnicações latino-americanas foi documentado. ## Linha do Tempo dos Ataques ```mermaid timeline title LAPSUS$ - Principais Alvos 2021-2022 Dec 2021 : Ministério da Saúde Brasil : Claro / Embratel : Impresa (Portugal) Feb 2022 : Nvidia : 1TB de dados - código de GPU Mar 2022 : Samsung - 190GB : T-Mobile - código-fonte : Ubisoft : Microsoft - Bing / Cortana : Okta - acesso a clientes Mar 2022 : Globant - código de clientes Sep 2022 : Uber - acesso interno : Rockstar Games - GTA VI ``` ## Métodologia de Ataque ```mermaid graph TB A["🎭 Social Engineering<br/>Recrutamento de insiders<br/>USD 20k/semana por acesso VPN<br/>Telegram, Reddit, LinkedIn"] --> B["🔑 Acesso Inicial<br/>Credenciais compradas em fóruns<br/>Tokens de sessão via infostealer<br/>SIM swapping para bypass MFA"] B --> C["📱 MFA Fatigue / Bypass<br/>Bombardeio de notificações MFA<br/>até aprovação acidental<br/>SMS interception via SIM swap"] C --> D["🔍 Reconhecimento Interno<br/>Acesso a Jira, Confluence, Slack<br/>GitLab, Azure DevOps<br/>Mapeamento de código e dados"] D --> E["📤 Exfiltração<br/>Código-fonte, PII, dados internos<br/>Egress via NordVPN<br/>Publicação imediata no Telegram"] E --> F["💬 Extorsão Pública<br/>Vazamento parcial como prova<br/>Demandas financeiras e técnicas<br/>Publicação total se ignorado"] ``` **Técnicas:** [[t1078-valid-accounts|T1078]] · [[t1621-multi-factor-authentication-request-generation|T1621]] · [[t1539-steal-web-session-cookie|T1539]] ## Alvos e Impacto | Empresa / Org | Dado Comprometido | Impacto | |--------------|------------------|---------| | Microsoft | Código-fonte Bing, Cortana, Azure DevOps (90%) | Confirmado | | Nvidia | 1TB dados, credenciais 71k funcionários | Confirmado | | Samsung | 190GB - código-fonte Galaxy / biometria | Confirmado | | Okta | Acesso a sistemas de suporte - 2.5% clientes afetados | Confirmado | | T-Mobile | Código-fonte de projetos internos | Confirmado | | Globant | Código-fonte de clientes | Confirmado | | Ministério da Saúde Brasil | Dados vacinais e de saúde pública | Confirmado | | Claro / Embratel | Dados internos | Confirmado | ## Membros Identificados e Prisões - **Arion Kurtaj** (apelidado "White" ou "Oklaqq/WhiteDoxbin"): adolescente britânico, considerado líder. Preso em março 2022, preso novamente em setembro 2022 após reincidência (Uber e Rockstar). Sentenciado a internação psiquiátrica indefinida. - **Membro anônimo de 16 anos** de Oxford: preso junto a Kurtaj - Sete prisões no total pela polícia de Londres; prisões adicionais no Brasil ## Relevância para o Brasil > [!high] Brasil como Origem e Alvo - LAPSUS$ Tem Raízes Brasileiras > O [[g1004-lapsus]] começou suas operações visando alvos brasileiros (Ministério da Saúde, Claro, Embratel em dezembro 2021) e tem membros identificados no Brasil. O grupo demonstrou interesse específico em operadoras de telecomúnicações Latino-americanas e recrutou insiders em provedores de serviços brasileiros. Além disso, o modelo de recrutamento de insiders - funcionários pagos para fornecer acesso - é uma ameaça persistente para empresas brasileiras que operam help desks e call centers terceirizados. ## Detecção e Defesa - Implementar MFA resistente a phishing (FIDO2/hardware tokens) - SMS-based MFA é contornável por SIM swap - Monitorar atividade de contas em horários incomuns ou de locais geográficos inesperados - Limitar acesso de suporte de terceiros a sistemas críticos (lição aprendida com o caso Okta) - Detectar sessões de RDP iniciadas por contas de serviço ou help desk com acesso elevado - Monitorar downloads de grandes volumes de código-fonte em repositórios Git internos ## Referências - [Microsoft — DEV-0537 Criminal Actor Targeting Organizations for Data Exfiltration (2022)](https://www.microsoft.com/en-us/security/blog/2022/03/22/dev-0537-criminal-actor-targeting-organizations-for-data-exfiltration-and-destruction/) - [KrebsOnSecurity — A Closer Look at the LAPSUS$ Data Extortion Group (2022)](https://krebsonsecurity.com/2022/03/a-closer-look-at-the-lapsus-data-extortion-group/) - [Wikipedia — Lapsus$](https://en.wikipedia.org/wiki/Lapsus$) - [The Hacker News — Microsoft and Okta Confirm Breach by LAPSUS$ (2022)](https://thehackernews.com/2022/03/microsoft-and-okta-confirm-breach-by.html) - [[g1004-lapsus]] - Grupo responsável pela campanha de extorsão - [[s1240-redline-stealer]] - Infostealer usado para coletar credenciais e session tokens - [[t1078-valid-accounts|T1078]] - Técnica central: uso de credenciais legítimas roubadas - [[t1621-multi-factor-authentication-request-generation|T1621]] - MFA fatigue bombing