As autoridades do Reino Unido confirmaram que detiveram sete pessoas na sequência de ataques realizados pelo Lapsus$, um grupo de cibercriminosos que reivindicou vários ataques recentes em todo o mundo. A lista de alegadas vítimas inclui o grupo Impresa (dono da SIC e do Expresso), a Samsung, a Microsoft e a fabricante de processadores Nvidia.

“Sete pessoas com idades compreendidas entre os 16 e os 21 anos foram detidas no âmbito de uma investigação a um grupo de hackers. Todos [os detidos] foram libertados sob investigação. Os inquéritos continuam em curso”, avançou o inspector Michael O’Sullivan em respostas à agência Reuters sobre o grupo Lapsus$ esta quinta-feira.

O modelo de eleição do grupo Lapsus$ tende a ser o ransomware, um tipo de ataque informático em que os criminosos invadem sistemas informáticos, bloqueiam o acesso a serviços e pedem um resgate pelo desbloqueio dos dados (em inglês ransom significa resgate). Em Março, os criminosos divulgaram credenciais de acesso de 71 mil trabalhadores da tecnológica Nvidia, depois de a empresa de placas gráficas se recusar a pagar o resgate pedido pelos atacantes.

De acordo com o Centro de Inteligência de Ameaças da Microsoft (MSTIC), que tem estado a seguir o grupo, as tácticas e objectivos do grupo “indicam que este é um actor cibercriminoso motivado por roubo e destruição”. Inicialmente, pensava-se que o grupo estava sediado na América do Sul. Em 2021, o grupo esteve por detrás de vários ataques no Brasil, incluindo aos sites do Ministério da Saúde brasileiro, do serviço de saúde e do portal covid, assim como os sites da Polícia Rodoviária Federal e a Empresa Brasileira de Correios e Telégrafos.

A Microsoft é a vítima mais recente do grupo. Na terça-feira, a equipa de segurança da tecnológica, confirmou que o grupo Lapsus$ (a que chamam DEV-0537) conseguiu aceder a uma conta da empresa e roubou parte do código fonte de alguns produtos da empresa.

De acordo com a tecnológica norte-americana, o grupo tende a recorrer a esquemas de engenharia social (o chamado phishing) para obter credenciais e aceder aos sistemas das vítimas. Por vezes, são usados telefonemas e emails falsos para obter dados; outras, o grupo tenta pagar aos trabalhadores pelas palavras-passe.“Uma vez que o DEV-0537 [Lapsus$] consegue acesso à rede alvo utilizando contas comprometidas, utilizam múltiplas tácticas para descobrir credenciais adicionais ou pontos de intrusão para alargar o seu acesso”, detalha a equipa da Microsoft.

Em Janeiro, o grupo Lapsus$ reivindicou o ataque ao jornal Expresso e à estação televisiva SIC que ficaram sem os sites durante vários dias. “Os dados serão vazados caso o valor necessário não for pago”, lia-se na mensagem apresentada pelo grupo no endereço do semanário. Em Portugal, a Polícia Judiciária está a investigar a origem dos ataques. Ao que o PÚBLICO apurou, suspeita-se que os piratas tenham entrado no sistema informático do Expresso e da SIC dias antes do ataque para delinear a forma de aumentar o impacto do crime.

A equipa de segurança da Microsoft recomenda utilizar a autenticação multifactor para impedir o acesso do grupo aos sistemas. Este tipo de autenticação exige pelo menos dois factores de autenticação (por exemplo, palavra-passe e código recebido por SMS ou email) para verificar a identidade dos utilizadores.