In een maand tijd is het van niets uitgegroeid tot een beruchte naam: hackersgroep Lapsus$. Door grote techbedrijven zoals Nvidia, Samsung en Vodafone aan te vallen, en hier data buit te maken. Deze data maakt de groep vervolgens openbaar. Maar: waarom doen ze dat, en wie zijn de mensen erachter?
Die vraag stelde een onderzoeksteam van cybersecuritybedrijf Palo Alto Networks ook. Uit hun analyse blijkt dat de naam Lapsus$ halverwege 2021 voor het eerst opdook. In augustus van dat jaar hackte de groep enkele Britse telecomproviders. Klanten kregen een sms met daarin de mededeling dat hun gebruikersdata buit was gemaakt, en een dwangsom van 4 miljoen Amerikaanse dollar eiste van provider EE.
Of er destijds ook daadwerkelijk geld naar Lapsus$ is overgemaakt is niet duidelijk.
In december 2021 werden in korte tijd meerdere doelwitten aangevallen: het Braziliaanse ministerie van Volksgezondheid, postbedrijf Correios, enkele Zuid-Amerikaanse telecomproviders en het Portugese mediabedrijf Impresa. Hierdoor ontstond de indruk dat Lapsus$ mogelijk Braziliaans was, maar vermoedelijk is dat niet het geval.
De site van het Braziliaanse ministerie van Volksgezondheid na een hack door Lapsus$.
Vorige week pakten Engelse instanties namelijk een zevental verdachten op, in leeftijd variërend van 16 tot 21 jaar. Volgens enkele beveiligingsonderzoekers is een 16-jarige jongen uit Oxford de leider van Lapsus$. Of dat het geval is, is nog niet zeker — de Britse instanties zijn nog bezig met de zaak.
Het 'waarom' achter Lapsus$
Iets wat vooral duidelijker werd toen in maart grotere, internationale doelwitten werden aangevallen, was de motivatie van Lapsus$. In tegenstelling tot bij de Britse providers eiste de groep van Nvidia, Samsung en Microsoft namelijk geen geld.
Nvidia werd in plaats daarvan gevraagd om de hashratebeperking op zijn GeForce RTX 30-videokaarten te verwijderen, met als dreigement dat anders geheime data openbaar zou worden gemaakt. Bij Microsoft en Samsung werd zelfs helemaal niks geëist, en werd de gestolen data schijnbaar zonder reden gepubliceerd.
Het lijkt Lapsus$ dan ook vooral te gaan om de aandacht, concludeert Palo Alto Networks. Maar naar mate de naam van de groep bekender wordt, trekt Lapsus$ mogelijk meer leden aan die andere doelen voor ogen hebben. Waar de groep tot nu toe vooral opereert door inloggegevens te kopen of anderszins te ontfutselen van medewerkers van grote bedrijven, is het niet ondenkbaar dat ze in de toekomst op grotere schaal malware zullen toepassen.
Komt het ook zover, nu er mogelijk enkele sleutelfiguren zijn opgepakt? Dat moet nog blijken. De groep claimt zelf na 30 maart (woensdag) weer in actie te komen, als de beheerders naar eigen zeggen 'terug zijn van vakantie'. De Chinese internetgigant Tencent zou het volgende doelwit van Lapsus$ zijn, volgens het Telegram-kanaal van de groep.
Bron: Palo Alto Networks
