Il panorama della sicurezza informatica è in continua evoluzione, con l'emergere di nuove minacce che sfruttano le vulnerabilità anche dei sistemi più solidi. Il recente rapporto del Cyber Safety Review Board del Dipartimento della Sicurezza Interna degli Stati Uniti (DHS) fa luce sulle attività del gruppo di estorsione Lapsus$.
Questo gruppo non organizzato, composto principalmente da adolescenti del Regno Unito e del Brasile, è riuscito a penetrare in organizzazioni con una solida struttura di sicurezza utilizzando una serie di tecniche, tra cui lo "SIM swap".
Lapsus$ ha attirato l'attenzione per la sua audacia, la sua creatività e, a volte, per la sua pura incoscienza. I loro obiettivi comprendevano giganti della tecnologia come Microsoft, Cisco e Nvidia, tra gli altri. Sebbene le motivazioni principali del gruppo sembrassero essere la notorietà e il guadagno, hanno combinato varie tattiche con sprazzi di creatività per sfruttare le debolezze dell'infrastruttura informatica. Il gruppo ha operato tra il 2021 e il 2022, lasciando dietro di sé una scia di violazioni e fughe di dati.
Una delle tecniche principali impiegate da Lapsus$ è stata quella dello "SIM swap", o scambio di SIM. Questo metodo consiste nel rubare il numero di telefono della vittima trasferendolo su una carta SIM controllata dall'aggressore. Ottenendo il controllo del numero di telefono della vittima, l'aggressore può intercettare i codici di autenticazione basati su SMS, consentendo l'accesso a vari servizi aziendali e alle reti aziendali. Lapsus$ ha effettuato scambi fraudolenti di SIM, spesso eseguiti direttamente dagli strumenti dei fornitori di telecomunicazioni dopo aver dirottato gli account appartenenti a dipendenti e collaboratori.
Lapsus$ non si è affidato esclusivamente a metodi tecnici. Hanno sfruttato l'assistenza di insider nelle aziende prese di mira. Questi insider sono stati utilizzati per ottenere credenziali, approvare richieste di autenticazione a più fattori e fornire accesso interno per aiutare gli aggressori. Inoltre, il gruppo ha utilizzato richieste di comunicazioni di emergenza (EDR) fraudolente per raccogliere informazioni riservate sulle vittime. Queste richieste sono state spesso fatte apparire legittime, utilizzando loghi o impersonando agenti delle forze dell'ordine.
Nel marzo dello scorso anno, la polizia di Londra ha annunciato l'arresto di sette persone legate a Lapsus$. Pochi giorni dopo, il 1° aprile, ne sono stati arrestati altri due, un 16enne e un 17enne. A ottobre, durante l'operazione Dark Cloud, la Polizia federale brasiliana ha arrestato un individuo sospettato di far parte dello stesso gruppo, per aver violato i sistemi del Ministero della Salute del Paese.
Il rapporto del DHS Cyber Safety Review Board sottolinea la necessità di passare a metodi di autenticazione più sicuri, raccomandando di abbandonare l'autenticazione a due fattori basata su SMS. Si suggerisce di adottare ambienti senza password e di investire in soluzioni di gestione dell'identità e degli accessi. I provider di telecomunicazioni americani sono stati incoraggiati a trattare gli scambi di SIM come azioni altamente a rischio e a fornire solide opzioni di verifica dell'identità.
Gli attacchi SIM swap rappresentano una minaccia reale e significativa per la sicurezza dei dati personali e delle aziende. Non si tratta di una minaccia remota limitata agli USA e gli utenti italiani non dovrebbero sottovalutare questa minaccia. È fondamentale effettuare questa transizione a metodi di autenticazione privi di password e l'abbandono dell'uso di SMS come metodo di verifica a due passaggi.