g1004-lapsus - RunkIntel

# LAPSUS$ > [!warning] Resumo Executivo > Grupo criminoso internacional composto por adolescentes e jovens adultos com raizes no Brasil e Reino Unido. Especializado em extorsao pura sem ransomware - roubo e ameaça de públicacao de código-fonte e dados sensiveis de grandes empresas de tecnologia. Vitimas incluem Ministerio da Saúde do Brasil, NVIDIA, Samsung, Microsoft, Okta, Uber e Rockstar Games. Primeiro ataque documentado foi contra o governo brasileiro. Considerado inativo desde setembro 2022 após prisoes, mas possívelmente disperso no grupo [[g1015-scattered-spider|ShinyHunters]]. ## Visão Geral **LAPSUS$** (rastreado pela Microsoft como **DEV-0537** / **Strawberry Tempest**) e um grupo criminoso internacional ativo entre dezembro de 2021 e setembro de 2022, com membros em **Brasil e Reino Unido**. O grupo ganhou notoriedade por ataques de alto impacto contra as maiores empresas de tecnologia do mundo - sem usar ransomware. Diferente da maioria dos grupos criminosos, o LAPSUS$ adotava um modelo de **extorsao pura por exposicao**: roubava código-fonte, dados de funcionarios e informações confidenciais, depois ameaçava ou públicava os dados em seu **canal público do Telegram** (que chegou a ter 45.000+ membros). O grupo **nao se escondia** - anunciava intencoes, recrutava abertamente e frequentemente dormia durante operações em andamento. O primeiro ataque documentado foi contra o **Ministerio da Saúde do Brasil** em dezembro de 2021, exfiltrando e deletando 50 TB de dados internos em reacao as politicas de COVID-19. Isso confirma raizes brasileiras no grupo. Em outubro de 2022, um cidadao brasileiro foi preso em Feira de Santana, Bahia, na **Operação Dark Cloud** pela Policia Civil. O lider identificado foi **Arion Kurtaj** (alias "White"), um menor de idade britânico que acumulou US$ 14 milhões e foi considerado inapto a julgamento por diagnostico psiquiatrico, mas ainda assim condenado e internado indefinidamente em instalacao psiquiatrica segura. > [!info] Legado no Ecossistema Criminal > Em 2025, DataBreaches.net reportou fusao parcial entre Scattered Spider e ShinyHunters, dois grupos derivados ou relacionados ao LAPSUS$. A métodologia do grupo - engenharia social sem malware tradicional - tornou-se blueprint para múltiplos grupos subsequentes. ## Timeline de Ataques e Prisoes ```mermaid timeline title LAPSUS$ - Cronologia de Operacoes Dec 2021 : Ministerio da Saude Brasil : 50 TB de dados exfiltrados e deletados : Site do ministerio derrubado : Correiro dos Correios e Localiza Ján-Feb 2022 : Okta (via Sitel) : NVIDIA - 250 GB de dados GPU : Samsung - 200 GB código fonte Mar 2022 : Microsoft - 37 GB Bing/Cortana : Ubisoft comprometido : T-Mobile source code : 7 prisoes em Londres (16-21 anos) Abr 2022 : Globant - 70 GB de dados : Grupo considerado inativo Set 2022 : Ressurgimento com Uber : Rockstar Games - GTA VI vazado : Prisoes na UK e Brasil (Bahia) Ago 2023 : Condenacao de Arion Kurtaj : Internacao psiquiatrica indefinida : 17 anos de co-reo condenado 2025 : Fusao parcial com ShinyHunters : Canais Telegram conjuntos : Rebranding como coletivo maior ``` ## Attack Flow - Engenharia Social sem Ransomware ```mermaid graph TB A["🔎 Reconhecimento T1589 Identidades + cargos T1591.004 Mapeamento de papeis"] --> B["💰 Suborno e Recrutamento T1656 Impersonacao Compra de credenciais - 20K/semana"] B --> C["🔑 Acesso Inicial T1078 Contas válidas T1133 VPN + RDP externo"] C --> D["📂 Coleta em Massa T1213 Confluence + SharePoint T1213.003 Repositorios de código"] D --> E["💬 Anuncio Publico T1552.008 Dados no Telegram 45.000+ membros no canal"] E --> F["🔨 Destruicao / Vazamento T1485 Destruicao de dados T1489 Stop de servicos"] style A fill:#2e4057,color:#fff style B fill:#c0392b,color:#fff style C fill:#e67e22,color:#fff style D fill:#1a5276,color:#fff style E fill:#117a65,color:#fff style F fill:#7b241c,color:#fff ``` ## Vitimas e Impacto | Vitima | Data | Dados Roubados | Impacto | |--------|------|----------------|---------| | Ministerio da Saúde Brasil | Dez 2021 | 50 TB de dados internos exfiltrados e deletados | Site derrubado; sistemas de vacinacao afetados | | Okta (via Sitel) | Ján 2022 | Acesso a 366 clientes Okta (2,5%) | 5 dias de acesso ao ambiente de suporte | | NVIDIA | Fev 2022 | 250 GB de dados; credenciais 71.000 funcionarios | Demandou abertura de drivers GPU | | Samsung | Mar 2022 | 200 GB de código-fonte Galaxy | Sem dados de clientes confirmados | | Microsoft | Mar 2022 | 37 GB de código-fonte Bing, Cortana, 250+ projetos | Conta única comprometida; Microsoft interveio | | Ubisoft | Mar 2022 | Dados internos | Confirmado pela empresa | | T-Mobile | Mar 2022 | Source code de sistemas internos | Tentativa de acessar contas FBI/DoD fracassou | | Globant | Abr 2022 | 70 GB de dados de clientes e código | Confirmado | | Uber | Set 2022 | Acesso interno amplo; dados de segurança | Uber levou sistemas offline | | Rockstar Games | Set 2022 | Gameplay videos e código de GTA VI | Maior vazamento da historia do gaming | | Localiza Rent a Car | 2021 | Dados corporativos | Empresa brasileira afetada | | Correios (Brasil) | 2021 | Dados operacionais | Empresa estatal brasileira afetada | ## TTPs Detalhados ### Reconhecimento e Preparação - Mapeamento de identidades e cargos de funcionarios-chave ([[t1589-gather-victim-identity-information|T1589]]) - Identificação de papeis com privilegios elevados (suporte TI, administradores) ([[t1591-004-identify-roles|T1591.004]]) - Compra de credenciais em forums criminosos ### Acesso Inicial - Métodos Exclusivos - **Suborno direto**: Oferecia até US$ 20.000/semana para funcionarios de operadoras de telecom (AT&T, Verizon, T-Mobile) realizarem SIM swapping ([[t1656-impersonation|T1656]]) - **Recrutamento de insiders**: Anuncios em plataformas online oferecendo pagamento por acesso interno - **Engenharia social avancada**: Personificacao e manipulação de suporte tecnico - **SIM swapping**: Comprometimento de MFA baseado em SMS - **Acesso via VPN e servicos externos** ([[t1133-external-remote-services|T1133]]) - **Contas válidas comprometidas** - sem malware customizado ([[t1078-valid-accounts|T1078]]) ### Coleta e Exfiltração - Acesso a Confluence para documentacao interna ([[t1213-001-confluence|T1213.001]]) - Coleta de repositorios de código-fonte ([[t1213-003-code-repositories|T1213.003]]) - Acesso a SharePoint corporativo ([[t1213-002-sharepoint|T1213.002]]) - Exfiltração de dados locais ([[t1005-data-from-local-system|T1005]]) - Recuperacao de credenciais via chat messages (Teams, Slack) ([[t1552-008-chat-messages|T1552.008]]) ### Comúnicação e Extorsao - Anuncios públicos via Telegram (canal com 45.000+ membros) - Publicacao imediata de dados sem negociacao prolongada - Stop de servicos criticos para pressao ([[t1489-service-stop|T1489]]) - Destruicao de dados como demonstracao de poder ([[t1485-data-destruction|T1485]]) ### Infraestrutura - VPS em provedores conhecidos ([[t1583-003-virtual-private-server|T1583.003]]) - NordVPN com egress geograficamente proximo ao alvo para evitar detecção de "impossible travel" - Evitavam dark web - operavam em Telegram público - Nao utilizavam ransomware ou malware sofisticado - dependiam exclusivamente de acesso a credenciais ## Prisoes e Acao Legal | Membro | Data | Local | Status | |--------|------|-------|--------| | 7 jovens (16-21 anos) | Mar 2022 | Londres, UK | Presos; maioria liberada em fianca | | Arion Kurtaj ("White") | Abr 2022 | Oxford, UK | Condenado ago 2023; internacao psiquiatrica indefinida | | Co-reu de 17 anos | Abr 2022 | UK | Condenado ago 2023 | | Cidadao brasileiro | Out 2022 | Feira de Santana, Bahia | Preso na Operação Dark Cloud | | Outros membros UK | Set 2022 | UK | Presos após Uber/Rockstar hacks | ## Relevância para o Brasil e LATAM > [!danger] Origem Parcialmente Brasileira - Legado Operacional > O LAPSUS$ tem **raizes diretas no Brasil**: primeiro ataque foi contra o Ministerio da Saúde brasileiro, membro brasileiro foi preso na Bahia, e o grupo recrutava em portugues e ingles. Isso confirma capacidade criminal cibernetica local significativa. Para a regiao: 1. **Ataque pioneiro ao governo brasileiro** (Ministerio da Saúde, dez 2021) demonstra que governo federal e alvo válidado por grupos de lingua portuguesa 2. **Métodologia sem malware** e extremamente dificil de detectar com ferramentas tradicionais de segurança 3. **Legado no ecossistema**: Membros do LAPSUS$ podem ter se dispersado em grupos como [[g1015-scattered-spider|Scattered Spider]] e ShinyHunters, que continuam ativos 4. **Modelo de suborno a funcionarios** pode ser replicado em empresas brasileiras com menor cultura de segurança interna 5. O Brasil também foi alvo via Localiza e Correios - indicando interesse em empresas e orgaos nacionais A ameaça do modelo LAPSUS$ persiste via grupos derivados. Organizacoes no [[technology|setor de tecnologia]], [[telecommunications|telecomúnicacoes]], [[government|governo]] e [[gaming|gaming]] no Brasil devem implementar: - Monitoramento de atividade administrativa anormal - Treinamento de segurança focado em tentativas de suborno - Restricao de acesso a repositorios de código-fonte por politica de privilegio mínimo - Detecção de exfiltração em grande volume (50+ GB) ## Detecção | Indicador | Comportamento Suspeito | |-----------|----------------------| | `User.session.impersonation` no Okta | Rarissimo em producao - investigar sempre | | Acesso ao Confluence fora do horario | Coleta massiva de documentacao interna | | Download em massa de repositorios Git | Exfiltração de código-fonte | | Novo fator MFA adicionado a conta | Técnica de persistência pos-comprometimento | | VPN com egress geografico incomum | Uso de NordVPN para evadir impossible travel | | Novo usuario admin criado | Técnica de persistência | ## Referências - [1](https://en.wikipedia.org/wiki/Lapsus$) Wikipedia - LAPSUS$ Historico Completo - [2](https://www.microsoft.com/en-us/security/blog/2022/03/22/dev-0537-criminal-actor-targeting-organizations-for-data-exfiltration-and-destruction/) Microsoft Security Blog - DEV-0537 (Strawberry Tempest) Analysis - [3](https://attack.mitre.org/groups/G1004/) MITRE ATT&CK - LAPSUS$ (G1004) - [4](https://www.trustwave.com/en-us/resources/blogs/trustwave-blog/placing-threat-groups-under-a-microscope-lapsus/) Trustwave - LAPSUS$ Under the Microscope - [5](https://pushsecurity.com/blog/scattered-lapsus-hunters) Push Security - Analyzing Scattered/Lapsus$/ShinyHunters (Marco 2026) - [6](https://krebsonsecurity.com/2022/03/a-closer-look-at-the-lapsus-data-extortion-group/) Krebs on Security - LAPSUS$ Closer Look - [7](https://www.aha.org/system/files/media/file/2022/04/hc3-tlp-white-threat-briefing-lapsus$-okta-and-the-health-sector-4-7-22.pdf) HHS HC3 - LAPSUS$ and Health Sector Briefing