lapsus-group - RunkIntel

# LAPSUS$ > [!warning] Grupo Brasileiro de Extorsão — Alta Relevância LATAM > **LAPSUS$** é um grupo de extorsão e vazamento de dados com origem parcialmente brasileira, ativo entre 2021 e 2022. Comprometeu gigantes como **NVIDIA**, **Microsoft**, **Okta**, **Samsung** e **Uber** usando engenharia social e MFA fatigue sem exploits avançados. ## Visão Geral O LAPSUS$ é um grupo de hackers jovens (alguns adolescentes) que causou impacto desproporcional ao seu nível técnico, comprometendo algumas das maiores empresas de tecnologia do mundo entre meados de 2021 e 2022. O grupo tem origem confirmada no Brasil e no Reino Unido, com membros identificados e presos em ambos os países. O diferencial do LAPSUS$ não foi sofisticação técnica, mas sim engenharia social extremamente eficaz: o grupo comprava credenciais no mercado underground, recrutava insiders corporativos para vazamento de acesso VPN, e utilizava MFA Fatigue (bombardeio de notificações push) para contornar autenticação de dois fatores. Essa abordagem "low tech, high impact" expôs vulnerabilidades críticas em programas de IAM de empresas Fortune 500. Para o Brasil e a América Latina, o LAPSUS$ tem importância histórica como o primeiro grupo de extorsão cibernética de destaque global com origem confirmada no país. Suas técnicas de recrutamento de insiders corporativos e SIM swapping permanecem relevantes para organizações da região. ## Attack Flow ```mermaid flowchart LR A[Reconhecimento\nTelegram / Dark Web] --> B[Acesso Inicial\nCredenciais compradas\nInsider recrutado] B --> C[Bypass MFA\nMFA Fatigue\nSIM Swap] C --> D[Acesso Cloud\nOkta / Azure AD\nConfluence / Jira] D --> E[Exfiltração\nCódigo-fonte\nDados internos] E --> F[Extorsão\nVazamento Telegram\nResgate] ``` ## TTPs Principais | Técnica | ID | Descrição | |---------|-----|-----------| | MFA Fatigue | [[t1621-multi-factor-authentication-request-generation\|T1621]] | Bombardeio de notificações push | | Contas Válidas | [[t1078-valid-accounts\|T1078]] | Credenciais compradas ou via insiders | | Acesso Cloud Storage | [[t1530-data-from-cloud-storage-object\|T1530]] | SharePoint, Confluence, S3 | | SIM Swap | [[t1566-phishing\|T1566]] | Roubo de número de telefone via engenharia social | | Recrutamento de Insiders | [[t1078-valid-accounts\|T1078]] | Pagamento a funcionários por acesso VPN | ## Relevância LATAM O LAPSUS$ demonstrou que atores de ameaça com alto impacto global podem surgir no Brasil. O grupo utilizou o Telegram em português para coordenação e recrutamento. A perspectiva LATAM inclui: - Risco real de recrutamento de insiders em empresas de tecnologia brasileiras - SIM swapping como vetor de entrada ativo no Brasil - Fóruns underground em português como fonte de credenciais corporativas ## Detecção e Defesa - Substituir notificações push por FIDO2 ou chaves físicas para eliminar MFA Fatigue - Implementar programas de detecção de insiders com monitoramento de acesso a dados sensíveis - Bloquear transferências de portabilidade de número sem verificação presencial - Aplicar [[m1032-multi-factor-authentication|M1032]] com FIDO2 como padrão - Monitorar [[ds0028-logon-session|DS0028]] para logins fora de horário e geolocalização incomum ## Referências - Microsoft MSTIC: DEV-0537 Criminal Actor Targeting Organizations (2022) - CISA: LAPSUS$ Tactics, Techniques and Procedures (2023) - Uber: Security Update — LAPSUS$ breach (2022) - Okta: Incident investigation LAPSUS$ (2022) - Cyber Safety Review Board (CSRB): LAPSUS$ Review (2023)