De LAPSUS$-gegevensafpersingsbende kondigde hun terugkeer op Telegram aan na een weeklange “vakantie”, waarbij ze lekten wat volgens hen gegevens zijn van softwareservicebedrijf Globant.
“We zijn officieel terug van vakantie”, schreef de groep op hun Telegram-kanaal – dat op het moment van schrijven bijna 54.000 leden heeft – en plaatste afbeeldingen van geëxtraheerde gegevens en inloggegevens die behoren tot de DevOps-infrastructuur van het bedrijf.
De screenshots tonen een maplijst voor wat lijkt op verschillende bedrijven van over de hele wereld, waaronder Arcserve, Banco Galicia, BNP Paribas Cardif, Citibanamex, DHL, Facebook, Stifel, onder anderen.
Er wordt ook een torrent-bestand gedeeld dat zo’n 70 GB aan Globant’s broncode zou bevatten, evenals beheerderswachtwoorden die zijn gekoppeld aan de Atlassian-suite van het bedrijf, waaronder Confluence en Jira, en de Crucible-codebeoordelingstool.
Als malware onderzoeksgroep VX-Underground wijst erop dat de wachtwoorden niet alleen gemakkelijk te raden zijn, maar ook meerdere keren zijn hergebruikt, wat LAPSUS$ ertoe aanzette de “slechte beveiligingspraktijken” bij het bedrijf te melden. We hebben contact opgenomen met Globant voor commentaar en we zullen het verhaal bijwerken als we iets horen.
De LAPSUS$-afpersingsgroep staat sinds hun opkomst in december 2021 in de schijnwerpers vanwege hun headline-hacks op Impresa, NVIDIA, Samsung, Vodafone, Ubisoft, Microsoft en Okta.
De laatste dataroof komt binnen op het moment dat de politie van de City of London zei dat het vorige week zeven vermeende agenten van het criminele kartel tussen 16 en 21 jaar heeft gearresteerd en vrijgelaten. Maar als het laatste lek een indicatie is, hebben de wetshandhavingsacties hun activiteiten niet stopgezet.
