Adolescente no Brasil é um dos hackers por trás do Lapsus$

Um dos líderes do Lapsus$ seria adolescente de 16 anos que vive em Londres; ConecteSUS, Nvidia e Microsoft estão entre alvos do grupo

Por Emerson Alecrim

há 2 anos e 1 mês • Atualizado há 2 anos

O Lapsus$ Group está em evidência. Depois de invadir sistemas do Ministério da Saúde do Brasil, da Nvidia e até da Microsoft, autoridades estão promovendo uma caçada aos hackers do grupo. Esse trabalho já dá resultado: especialistas em segurança digital e policiais encontraram indícios de que o bando é liderado por adolescentes. Pelo menos um deles seria brasileiro.

Chega a ser irônico a Microsoft ter sido um dos alvos do Lapsus$, pois equipes de segurança digital da companhia vinham investigando o grupo há algumas semanas.

Mas foi justamente a Microsoft que revelou detalhes importantes do modus operandi dos hackers: embora não descartem outras abordagens, eles preferem usar táticas de engenharia social para fazer vítimas.

A Microsoft também apontou para um detalhe inusitado: ao contrário do que é comum entre hackers, o grupo parece não se preocupar em ocultar os seus rastros. Esse pode ter sido o maior erro do Lapsus$.

Líder do Lapsus$ seria jovem de 16 anos

Nesta quinta-feira (24), a polícia de Londres soltou o seguinte comunicado: “sete pessoas com idade entre 16 e 21 anos foram presas em alinhamento com uma investigação sobre um grupo de hackers”.

O tal grupo sob investigação é justamente o Lapsus$. Um adolescente de 16 anos que mora na região de Oxford foi acusado de ser um dos líderes do grupo.

As autoridades de Londres não informaram se esse jovem estava entre as sete pessoas presas, tampouco revelaram a sua identidade, por questões legais.

Sabe-se, porém, que o jovem se identifica na internet como White ou Breachbase e, por ser uma pessoa com autismo, frequenta uma escola de educação especial, também em Oxford.

Pode ter contribuído para a identificação do adolescente o fato de informações a seu respeito, incluindo endereço residencial, terem sido divulgadas na internet por hackers rivais.

A BBC chegou a conversar com o pai do adolescente, que contou não saber, até então, que o filho estava envolvido com esse tipo de atividade:

Eu nunca tinha ouvido falar sobre isso até recentemente. Ele nunca falou sobre hackear, mas ele é muito bom com computadores e passava bastante tempo no computador. Eu sempre pensava que ele estava jogando.

Os rivais que publicaram dados sobre White também afirmaram que ele detém mais de 300 bitcoins, valor que, hoje, equivale a quase R$ 62 milhões.

Provavelmente, seria questão de tempo para as autoridades chegarem ao jovem. Isso porque a empresa de segurança digital Unit 221B declarou estar rastreando as ações de White há quase um ano — antes de o Lapsus$ ter sido formado — e ter enviado alertas periodicamente à polícia sobre os crimes cometidos por ele.

De acordo com Allison Nixon, diretora de pesquisa da Unit 221B, White errou ao não cobrir os seus rastros. Foi isso que possibilitou que ele fosse rastreado.

Lapsus$ anuncia “férias”

As investigações continuam, é claro. Os investigadores querem determinar a extensão dos estragos feitos pelo grupo e, claro, identificar os demais membros. Sabe-se que as autoridades suspeitam de que pelo menos um deles é um adolescente que reside no Brasil, embora não haja, até o momento, informações sobre investigações no país.

Não será surpresa se um ou mais integrantes forem identificados no Brasil, afinal, o grupo ficou conhecido no final de 2021 após invadir os sistemas do Ministério da Saúde e deixar a ferramenta ConecteSUS inacessível por cerca de duas semanas. Na época, o bando também executou ações contra organizações no Reino Unido e na África do Sul.

Lapsus$ anuncia férias (imagem: Telegram/Lapsus$)

De todo modo, as ações policiais parecem ter deixado o grupo em alerta. Em mensagem publicada no Telegram — um canal com quase 50 mil participantes —, o Lapsus$ declarou:

Alguns de nossos membros estão de férias até 30/3/2022.
Temos que ficar quietos de vez em quando.
Obrigado por nos entender — vamos tentar vazar coisas o mais breve possível.

Se isso, na prática, significa que o Lapsus$ sairá de cena definitivamente, só o tempo dirá. Mas, mesmo que isso aconteça, as ações do grupo serão sentidas por bastante tempo, tanto que alguns especialistas em segurança já começam a questionar medidas protetivas atuais.

É o caso de Brian Krebs que, no Twitter, chegou a comentar: “isso [as ações do Lapsus$] nos força a mudar o pensamento sobre acesso interno”. São justamente deficiências no controle de acesso a sistemas que o grupo mais tem usado para executar invasões.

Com informações: Bloomberg, BBC.