01/04/22
Вымогательская группировка Lapsus$ вернулась к своей преступной деятельности, несмотря на арест семерых предполагаемых участников. Специалисты организации VX-Underground поделились свидетельствами атаки на люксембургскую консалтинговую компанию по разработке программного обеспечения Globant. Преступники предположительно получили доступ к 70 ГБ данных компании.
На снимках экрана показаны папки с названиями Facebook, «apple-health-app», а также упоминаются мегакорпорации DHL, Citibank и BNP Paribas. Неизвестно, являются ли папки свидетельством раскрытия клиентских данных. Еще одна папка называется Arcserve и предположительно указывает на одноименного поставщика управления данными или, возможно, просто на резервные копии Globant.
Кроме того, Lapsus$ продолжает доставлять проблемы компании Okta, публикуя новую информации о своей кибератаке. Исследователь в области кибербезопасности Билл Демиркапи (Bill Demirkapi) обнаружил документы, в которых подробно описывается атака на аутсорсингового поставщика технической поддержки Sitel, нанятого Okta.
Документы представляют собой журнал атаки на Sitel, и подробно описывают вход в систему через RDP с последующим поиском «инструментов повышения привилегий на GitHub». Есть также свидетельства загрузки вредоносных программ, прекращения процессов программного обеспечения безопасности и дальнейших вредоносных действий.
Предположительно, Lapsus$ получила доступ к файлу DomAdmins-LastPass.xlsx. LastPass — популярное приложение для управления паролями, а DomAdmins может быть сокращением от Domain Administrators («Администраторы домена»). В других документах, обнаруженных Демиркапи, упоминается доступ суперпользователя к файлам.
