Il 2022 è l’epoca in cui tutto passa per il web: dalla comunicazione, alle attività aziendali, fino ad arrivare alla guerra. Certo, il web rende tutto più semplice e intuitivo, ma anche più vulnerabile… Ultimamente gli attacchi informatici si sono moltiplicati e un nuovo gruppo di cybercriminali inizia a destare preoccupazione: Lapsus$.
Lapsus$ è un gruppo hacker che, seppur attivo da pochi mesi, è già riuscito a far parlare di sé e destare preoccupazione. La sua attività criminale inizia nelle zone del Portogallo, dove hanno avuto luogo i primissimi attacchi e tentativi di estorsione. Da qui, rapidamente, inizia a guadagnare consensi e a puntare a prede più grosse a livello internazionale, come Samsung, Vodafone e Ubisoft.
Le loro intenzioni non sono ancora chiare: il gruppo ha dichiarato più volte, sul suo canale Telegram, di non agire assolutamente a fini politici e di non essere finanziato da alcuna nazione. Insomma, in base a quanto emerso dalle loro parole, sembrerebbero agire esclusivamente per fini economici ed estorsivi (e perché no, anche un po’ per divertimento). Tuttavia, gli analisti non sono ancora del tutto convinti della genuinità di questa presa di posizione.
Uno dei primi grandi attacchi risale allo scorso 23 febbraio ed è stato indirizzato a Nvidia, azienda leader nel campo dei processori grafici. Durante l’attacco i cybercriminali sono riusciti a sottrarre oltre 1 TB di dati, tra cui firmware, driver e tool di sviluppo. Rubate anche le credenziali di 71.000 dipendenti (attuali e non). Nei giorni successivi, Nvidia è stata accusata di essere l’artefice di un contrattacco ai danni del gruppo Lapsus$, per tentare di tornare in possesso dei dati rubati. Tuttavia, il presunto botta-risposta non sembrerebbe essere andato a buon fine, in quanto i dati sono stati effettivamente leakkati dagli hacker.
Dopo Nvidia, un ulteriore cyber-attacco ha visto come vittima la multinazionale Samsung. Il furto è andato a buon termine (a quanto pare Samsung non ha pagato alcun riscatto): Lapsus$ ha già pubblicato sul Torrent circa 190GB di dati, tra codici sorgente e algoritmi per le operazioni di sblocco biometriche. Fortunatamente, tra i dati estorti non erano presenti dati sensibili degli utenti, come confermato dalla stessa Samsung.
Neanche la Vodafone è stata risparmiata: a “vincere” il sorteggio Telegram la scorsa settimana è stata proprio la multinazionale di telefonia mobile. Come i precedenti, anche questo attacco è andato a buon fine e ha permesso al gruppo di sottrarre oltre 200GB di dati, compreso il codice sorgente della Vodafone, che ora minaccia di essere reso pubblico.
Lapsus$, pur essendo un gruppo hacker molto giovane e ancora alle prime armi, è già riuscito a destare l’attenzione a livello internazionale e distinguersi dagli altri hacker groups.
I Lapsus$ hanno messo a punto una modalità d’attacco inedita rispetto ai classici gruppi di cybercriminali. Gli hacker appartenenti a questa famiglia, di norma, creano e diffondono dei malware capaci di criptare i sistemi dei loro bersagli, per poi sottrarre loro dati e estorcergli denaro sotto forma di riscatto. Lapsus$, invece, sembra riuscire a fare a meno della crittografia dei dati, a cui riuscirebbe ad accedere tramite attacchi phishing (come riportato da Wired).
Se la maggior parte dei gruppi di hacker preferiscono usare come principale piattaforma di diffusione dei dati il Dark Web, Lapsus$ è riuscito a distinguersi anche da questo punto di vista: il suo “campo di battaglia” è Telegram. Proprio qui, nel canale ufficiale Lapsus$ (che conta oltre 31mila iscritti), il gruppo rivendica gli attacchi, pubblica i dati sottratti e pianifica nuovi leak. In questo processo di selezione dei bersagli ad avere la prima parola sono gli iscritti, che hanno la possibilità di scegliere le prossime vittime attraverso dei sondaggi che rimangono aperti diversi giorni. È stata proprio la “voce del popolo” di Telegram, infatti, a scegliere la Vodafone tra le 3 vittime proposte la scorsa settimana.
Sul prossimo bersaglio non si hanno ancora informazioni.
La scelta di Telegram come canale di comunicazione è piuttosto ambigua. Perché non affidarsi al classico Dark Web, che da sempre si configura come l’ambiente più affine a questo tipo di operazioni? Sembrerebbe quasi una scelta volta a sottolineare la figura dell’hacker “amico del popolo”, che pone le sue abilità al servizio dei più… cosa che però andrebbe a contraddire le dichiarazioni del gruppo riguardo l’assenza di scopi politico-sociali. O forse è, banalmente, solo una strategia per aggiungere un po’ di brio (e popolarità) alle loro attività malevole.
Ciò che è certo è che l’uso di Telegram – rispetto al classico Dark Web – ha permesso al gruppo di raggiungere molta più gente comune. Questo gioca chiaramente a loro favore: ha permesso loro, ad esempio, di comunicare ai loro iscritti di essere alla ricerca di insiders, ovvero dipendenti di aziende di telecomunicazioni come AT&T o grandi colossi tech come Microsoft e Apple, disposti a collaborare con loro, fornendo VPN o altri tipi di accesso ai loro network. L’attività, tra l’altro, sarebbe anche retribuita per incentivarne la partecipazione. La notizia è rapidamente stata diffusa anche al di fuori del canale Telegram e tutto fa pensare che riuscirà a raggiungere i diretti interessati. Questo complicherà ulteriormente la vita alle aziende target, per le quali sarà difficile difendersi dai loro attacchi, dal momento in cui potrebbero avere il nemico più vicino di quanto pensino.
Alice Maria Reale
Fonte foto: Flickr
© RIPRODUZIONE RISERVATA
Articoli di proprietà di Voci di Città, rilasciati sotto licenza Creative Commons.
Sei libero di ridistribuirli e riprodurli, citando la fonte.
Nata a Catania nel lontano 2002, la piccola Alice si è sempre distinta per la sua risolutezza e determinazione.
Dopo aver deciso di voler diventare un’archeologa, poi una veterinaria e poi un’insegnante, si iscrive al Liceo Linguistico Lombardo Radice e scopre le sue due grandi passioni: la scrittura e le lingue straniere, che decide di coniugare iscrivendosi alla facoltà di Scienze e Lingue per la Comunicazione.