Sem código sofisticado, sem ferramentas exóticas. Só engenharia social e jovens audaciosos. O LAPSUS$ provou que a maior vulnerabilidade somos nós.
O LAPSUS$, parcialmente desmantelado em 2024 mas com ramificações activas até 2026, foi o grupo hacker que mudou a forma como a indústria pensa segurança digital. Não usavam malware sofisticado. Usavam telefonemas, phishing, suborno de funcionários e manipulação de help-desks.
Comprometeram a Microsoft, a Nvidia, a Samsung, a Uber, a Okta, a Rockstar Games. A maioria dos seus membros tinha menos de 21 anos.
Lapsus$: o Modus Operandi
Tradicionalmente, ataques cibernéticos sofisticados envolvem código malicioso, vírus, worms, ransomware. O LAPSUS$ rompeu com essa tradição. Os seus ataques eram, predominantemente, baseados em engenharia social.
Comprar credenciais de funcionários em fóruns underground. Subornar funcionários com acesso, oferecendo entre 1.000 e 20.000 dólares por credenciais. Fazer-se passar por gestores ou administradores em telefonemas para help-desks corporativos, conseguindo resetar senhas e MFA. Phishing avançado com sites idênticos aos originais.
Uma vez dentro, os ataques eram rápidos e destrutivos: exfiltração de dados em horas, divulgação pública de informação sensível como pressão, extorsão pública pela media.
Os Ataques Famosos
Nvidia (Fevereiro 2022): roubo de mais de 1 TB de dados, incluindo código-fonte de drivers de GPU. A Nvidia, em resposta, tentou contra-atacar, primeira vez que uma vítima admitiu publicamente fazê-lo.
Microsoft (Março 2022): acesso a código-fonte do Bing, do Cortana e de outros produtos. A Microsoft minimizou impacto publicamente, mas relatórios internos sugerem que foi mais sério do que admitido.
Okta (Março 2022): comprometimento via cliente terceiro com acesso a sistemas Okta. Resultou em crise de confiança massiva para a empresa, que perdeu mais de 35% do valor de mercado nos meses seguintes.
Uber (Setembro 2022): hacker de 18 anos comprometeu sistemas internos da Uber via engenharia social em colaborador. Postou mensagens nos canais Slack da empresa anunciando o sucesso.
Rockstar Games (Setembro 2022): leak de gameplay do GTA VI, ainda em desenvolvimento. Causou prejuízos financeiros enormes à Take-Two Interactive.
Os Autores
A maioria dos membros do LAPSUS$ era muito jovem. O líder identificado, um adolescente britânico, tinha 17 anos quando os ataques mais famosos foram executados. Outros membros eram do Brasil, do Reino Unido, da Argentina, e dos EUA.
A motivação parecia ser mistura de orgulho criminal e oportunismo financeiro. Vendiam alguma informação; revelavam outra publicamente para humilhar vítimas; pediam resgates em alguns casos.
A organização era informal. Funcionavam mais como subcultura online que como crime organizado. Comunicavam por Telegram e Discord. Recrutavam abertamente.
O que Mudou
O LAPSUS$ provou três coisas que a indústria preferia ignorar. Engenharia social é o vector mais eficaz, mesmo contra empresas tecnológicas sofisticadas. MFA não é solução universal, help-desks que podem resetar MFA são ponto de falha; funcionários que aceitam push notifications sem ler são ponto de falha. A geração mais jovem domina técnicas que adultos não compreendem, os atacantes cresceram em redes sociais e em gaming; sabem manipular interfaces, manipular conversas, e manipular percepções, melhor do que os defensores.
Para Empresas Moçambicanas
A relevância do LAPSUS$ para o contexto moçambicano é subestimada e crucial.
Empresas moçambicanas tendem a achar que estão seguras porque “ninguém se interessa por elas”. É falso. O LAPSUS$ não atacou empresas porque eram importantes; atacou empresas porque eram acessíveis. Quanto mais fraca a defesa, mais provável é o ataque, independentemente da importância.
As três medidas mais importantes. Treino de funcionários em reconhecer engenharia social. Phishing simulado regular. Casos práticos.
Processos rígidos de help-desk: nunca resetar senha ou MFA sem verificação multi-canal. Nem que seja o CEO ao telefone.
Cultura de segurança: tornar normal funcionários reportarem suspeitas sem medo de ridicularização.
O LAPSUS$ é o modelo de ameaça que se aproxima. Não é futuro teórico. É presente em construção. Quem se preparar agora, ganha. Quem não se preparar, paga depois, e paga caro.
