Il Cyber Safety Review Board (CSRB) del Department of Homeland Security (DHS) ha concluso la sua analisi e descrive le tattiche e le tecniche del gruppo in un rapporto che include anche raccomandazioni per il settore.
“Lapsus$ ha impiegato tecniche a basso costo, ben note e disponibili ad altri attori delle minacce, rivelando punti deboli nella nostra infrastruttura informatica che potrebbero essere vulnerabili a futuri attacchi” - Department of Homeland Security Cyber Safety Review Board.
Il gruppo ha utilizzato lo scambio di SIM per ottenere l’accesso alla rete interna di un’azienda bersaglio e rubare informazioni riservate come codice sorgente, dettagli sulla tecnologia proprietaria o documenti commerciali e relativi ai clienti.
In un attacco di SIM-swapping, l’attore della minaccia ruba il numero di telefono della vittima trasferendolo su una carta SIM di proprietà dell’attaccante. Il trucco si basa sull’ingegneria sociale o su un insider presso il gestore di telefonia mobile della vittima.
Avendo il controllo del numero di telefono della vittima, l’aggressore può ricevere codici effimeri basati su SMS per l’autenticazione a due fattori (2FA) necessaria per accedere a vari servizi aziendali o violare le reti aziendali.