Trotz Festnahmen: Hacker-Gruppe Lapsus$ leakt offenbar weiter erbeutete Daten
Trotz der Festnahme angeblicher Mitglieder, ist die Lapsus$-Gruppe wohl weiter aktiv. 70 Gigabyte an Daten aus einem weiteren Hack wurden jetzt öffentlich.
(Bild: Skorzewiak/Shutterstock.com)
Wenige Tage nachdem die britische Polizei angeblich sieben Personen wegen Verbindungen zur Hacker-Gruppe Lapsus$ festgenommen hat, hat die offenbar erneut gehacktes Material veröffentlicht. Das jedenfalls hat vx-underground, eine große Malware-Austausch-Community, getwittert. Opfer des jüngsten Hackerangriffs war demnach der Luxemburger Softwareentwickler Globant. Als Beweis gibt es einen Screenshot der Inhalte des 70 Gigabyte großen Archivs von Lapsus$. Zu sehen sind verschiedene Ordner mit Namen wie "DHL", "Facebook" oder "Abbott" – mutmaßlich Unternehmen, von denen Daten enthalten sind. Veröffentlicht wurden demnach auch Passwörter der Systemadministratoren, noch müssten die Behauptungen aber überprüft werden.
Die Lapsus$-Gruppe ist vergleichsweise neu und hat erst in den vergangenen Wochen immer mehr von sich reden gemacht. Sie soll für Angriffe auf eine portugiesische Mediengruppe, auf Nvidia, auf Ubisoft und zuletzt auf Microsoft sowie den Zugriffsmanagement-Dienstleister Okta verantwortlich sein. Ermittlungsbehörden hatten Medienberichten zufolge bereits vor den Festnahmen vergangenen Woche sieben verschiedene mutmaßliche Mitglieder der Gruppe identifiziert. Persönliche Informationen zu einem 16-jährigen angeblichen Mitglied aus Großbritannien waren vor wenigen Tagen von konkurrierenden Hackern öffentlich gemacht worden. Britische Medien hatten berichtet, dass er Autist ist und teilweise so schnell vorgegangen sei, dass ihn beobachtende Ermittler zuerst gedacht hätten, einem automatisierten Prozess zuzusehen.
Bevor jetzt öffentlich wurde, dass Lapsus$ wohl weiterhin aktiv ist, hatte ein Sicherheitsforscher haarsträubende Details des Angriffs auf Okta öffentlich gemacht. Bill Demirkapi hat laut Techcrunch Dokumente, die belegen, dass die Attacke über die Systeme des Unternehmens Sitel erfolgt war, das für Okta Kundensupport erledigte. Lapsus$ habe im Januar über eine VPN-Software Zugang zu Sitels Netzen erlangt. Gefunden hätten sie dort unter anderem eine Excel-Datei mit dem Namen "DomAdmins-LastPass.xlsx". Der legt nahe, dass es sich um Daten der Domain-Administratoren handelt, die aus dem Passwort-Manager LastPass exportiert wurden. Laut Sitel standen dort keine Passwörter, schreibt Techcrunch. Aber das Unternehmen habe kurz darauf firmenweit Passwörter zurückgesetzt. Okta sei zur gleichen Zeit kompromittiert worden.
(mho)
