La société de développement informatique et de logiciels Globant a déclaré mercredi dans un communiqué qu’il y avait eu une violation du réseau. La déclaration semble confirmer les affirmations de Lapsus$, un groupe qui a réussi à compromettre Microsoft, Nvidia, Okta et d’autres victimes au cours des dernières semaines.
Lapsus$ est un nouveau venu sur la scène de l’extorsion de données. Alors que les tactiques et les procédures du groupe manquent de sophistication, ses membres, qui sont largement considérés comme jeunes et techniquement immatures, compensent cela par la persévérance. Des membres de gangs feraient partie des sept personnes arrêtées par la police de Londres la semaine dernière.
Pas encore mort
Une fuite mardi sur la chaîne Lapsus $ Telegram comprenait des données qui, selon le groupe, provenaient d’un piratage récent sur Globant, soulevant des questions sur la relation des suspects, âgés de 16 à 21 ans, avec Lapsus, avait exactement $. Récemment, le FBI a demandé l’aide du public pour poursuivre le groupe.
La police de Londres ne semble pas avoir spécifiquement déclaré que les suspects étaient membres de Lapsus $, « mais en supposant [the suspects] nous ne savons toujours pas combien d’autres personnes peuvent être liées à l’opération ou où elles peuvent être basées », a écrit Brett Callow, analyste des menaces à la société de sécurité Emsisoft, dans un message privé. « Par exemple, au moins un de leurs membres semble être des locuteurs natifs – ou plus précisément, des écrivains – du portugais brésilien. »
Le message de Telegram comprenait une capture d’écran de données prétendument de Globant, basée au Luxembourg, qui opère dans 18 pays et compte plus de 23 500 employés. Les dossiers de l’un des caches de données prétendument volés portaient des noms tels que « Apple Health App », « Facebook », « C-SPAN » et « DHL ». Un autre message sur le même canal prétendait montrer les informations d’identification, dont beaucoup avec des mots de passe faibles, pour certains des serveurs sur lesquels Globant stockait les données.
Un lien torrent dans le message indiquait que le cache du code source divulgué était d’environ 70 Go.
Référentiel de code Script Kiddies violé
« Nous avons récemment découvert qu’une partie limitée du référentiel de code de notre entreprise faisait l’objet d’un accès non autorisé », ont écrit des responsables de l’entreprise dans un communiqué. « Nous avons activé nos journaux de sécurité et menons une enquête complète. »
Jusqu’à présent, selon le communiqué, les enquêteurs pensent que les données volées étaient « limitées à des codes sources spécifiques et à la documentation liée au projet pour un nombre très limité de clients ». L’enquête en cours n’a pas encore trouvé de preuves que d’autres données ou systèmes ont été piratés.
Les responsables de l’entreprise ont refusé de répondre aux questions demandant quand la violation s’est produite, si les données divulguées étaient authentiques et si quelqu’un avait contacté Globant pour exiger une rançon.
La semaine dernière, KrebsOnSecurity et Bloomberg ont rapporté qu’un membre principal de Lapsus$ est un jeune de 16 ans vivant à Oxford, en Angleterre. Un jour plus tard, la police de Londres a déclaré qu’au moins l’un des pirates suspects arrêtés avait 16 ans.
Lapsus$ utilise une variété de méthodes simples pour nuire avec succès à ses victimes. Par exemple, pour contourner les protections d’authentification multifactorielle de certaines cibles, les membres qui avaient obtenu des mots de passe tentaient régulièrement de se connecter aux comptes concernés, une technique connue sous le nom de bombardement rapide MFA. Dans de nombreux cas, les invites peuvent être transmises par un appel téléphonique standard.
« Il n’y a pas de limite au nombre d’appels qui peuvent être passés », a récemment écrit un membre de Lapsus$. « Appelez l’employé 100 fois à 1h du matin alors qu’il essaie de dormir et il le prendra très probablement. Une fois que l’agent répond au premier appel, vous pouvez accéder au portail d’inscription MFA et inscrire un autre appareil. »
D’autres techniques comprenaient les échanges de cartes SIM et l’ingénierie sociale. Lapsus$ n’est pas non plus au-dessus de la corruption ; Une fois qu’une organisation est ciblée, le groupe poursuit ses clients et les employés de ses sous-traitants.
La poursuite de l’activité de Lapsus$ est une preuve supplémentaire de la résilience du groupe. Alors que les organisations se concentrent souvent sur la défense contre les exploits zero-day et d’autres types de menaces avancées, Lapsus$ devrait rappeler que les méthodes de piratage moins ésotériques sont souvent plus simples et tout aussi efficaces.