Os "fantasmas digitais" do cibercriminoso grupo Lapsus$ estão de volta, e agora mais sofisticados e com um alvo claro: a cadeia de suprimentos digital. Um novo relatório de inteligência de ameaças da ZenoX, startup de cibersegurança do Grupo Dfense, revela que uma ramificação do infame coletivo, autodenominada "Scattered Lapsus$ Hunters", está por trás de um dos maiores ataques à cadeia de suprimentos já documentados, comprometendo entre 989 milhões e 1,5 bilhão de registros corporativos ao explorar integrações da plataforma Salesforce.

O estudo, chamado "Fantasmas Digitais: A Metamorfose do Lapsus$ em Scattered Hunters", detalha como o grupo cibercriminoso evoluiu das táticas caóticas, que paralisaram gigantes como Microsoft, Nvidia e o Ministério da Saúde entre 2021 e 2022, para uma operação criminosa financeiramente motivada e estrategicamente articulada.

Vulnerabilidade

A investigação da ZenoX aponta que a campanha recente explorou uma vulnerabilidade na integração entre a Salesforce e a plataforma de engajamento de vendas Salesloft Drift.

Ao explorar brechas na cadeia de suprimentos digital, os criminosos comprometeram a Salesloft e obtiveram tokens de acesso (OAuth) capazes de burlar a autenticação multifator (MFA), abrindo caminho para invadir instâncias da Salesforce usadas por centenas de corporações.

Vítimas

A lista de empresas atacadas pelo Lapsus$ inclui gigantes da tecnologia (Google AdSense, Cisco), aviação (Qantas, Air France, KLM, FedEx), varejo (Home Depot, IKEA), luxo (Louis Vuitton, Chanel, Dior, Cartier), automotivo (Toyota, Stellantis), alimentação (McDonald's, KFC), mídia e entretenimento (Disney/Hulu, HBO Max) e finanças (Allianz Life, TransUnion), entre outras.

"O que estamos testemunhando é a maturação de um fantasma. O Lapsus$ original, formado por adolescentes, provou que a engenharia social bem executada era mais devastadora que qualquer malware complexo. Agora, seus sucessores do Scattered Lapsus$ Hunters aprenderam a lição, uniram-se a outros grupos experientes como Scattered Spider e ShinyHunters, e industrializaram o método", analisa Ana Cerqueira, da ZenoX.

Elo mais fraco

"Eles demonstraram que o elo mais fraco não é mais apenas um funcionário desatento, mas a confiança que depositamos em ecossistemas de software interconectados. Atacar uma plataforma SaaS como a Salesloft foi como encontrar uma chave-mestra para entrar em centenas de empresas de uma só vez."

O relatório da ZenoX detalha que os dados expostos são de altíssima sensibilidade e incluem nomes completos, números de Seguro Social, datas de nascimento, informações de carteiras de motorista, e-mails, telefones, histórico de compras, conteúdo de tickets de suporte, chaves de API, tokens de acesso e outras credenciais corporativas.

A motivação do grupo ficou clara em um ultimato: os cibercriminosos exigiram o pagamento de 20 bitcoins (cerca de US$ 1,3 milhão) diretamente da Salesforce.

Segundo o relatório, a tática da dupla extorsão evoluiu para uma extorsão tripla ou quádrupla: eles ameaçam a empresa principal, as empresas clientes e ainda prometem armar os reguladores com evidências. É uma demonstração de força que coloca toda a indústria de SaaS em alerta.