أصبحت مجموعة الابتزاز $ LAPSUS هادئة بعد صعود سريع سيء السمعة عبر مشهد التهديدات ، مستهدفة الشركات بما في ذلك Microsoft و NVIDIA و ثمن، واكتسب سمعة سيئة لنهجها الحر واللامركزي في التعامل مع الجرائم الإلكترونية.
ومع ذلك ، قال الباحثون إن المجموعة لم تختف على الأرجح - وعلى أي حال ، فإن تكتيكاتها "الوقحة" قد تترك إرثًا.
تقرير جديد صادر عن أخصائي إدارة التعرض Tenable يبحث في خلفية المجموعة والتكتيكات والتقنيات والإجراءات (TTPs) التي استخدمتها ، وتنضج من هجمات رفض الخدمة الموزعة (DDoS) وتخريب مواقع الويب إلى أساليب أكثر تعقيدًا. يتضمن ذلك استخدام تقنيات الهندسة الاجتماعية لإعادة تعيين كلمات مرور المستخدم والاشتراك في أدوات المصادقة متعددة العوامل (MFA).
"تتميز بالسلوك الخاطئ والمطالب الغريبة التي لا يمكن تلبيتها - في وقت ما ، اتهمت المجموعة هدفًا بالقرصنة مرة أخرى - كانت فترة ولاية مجموعة LAPSUS $ في طليعة دورة أخبار الأمن السيبراني فوضوية ،" ملاحظات التقرير.
الفوضى وعدم وجود منطق جزء من الخطة
تقول كلير تيلز ، كبيرة مهندسي الأبحاث في Tenable: "يمكنك إطلاقًا تسمية LAPSUS $ 'a little punk rock' ، لكنني أحاول تجنب جعل الممثلين السيئين يبدون رائعًا. "إن مناهجهم الفوضوية وغير المنطقية للهجمات جعلت من الصعب للغاية التنبؤ بالحوادث أو الاستعداد لها ، وغالبًا ما تصطاد المدافعين في الخلف".
توضح أنه ربما بسبب الهيكل اللامركزي للمجموعة وقرارات التعهيد الجماعي ، فإن ملفها الشخصي المستهدف منتشر في كل مكان ، مما يعني أن المنظمات لا يمكنها العمل من وجهة نظر "نحن لسنا هدفًا مثيرًا للاهتمام" مع ممثلين مثل LAPSUS $.
يضيف تيلز أنه من الصعب دائمًا تحديد ما إذا كانت مجموعة التهديد قد اختفت أو أعيدت تسميتها أو أصبحت خامدة مؤقتًا.
"بغض النظر عما إذا كانت المجموعة التي تعرّف نفسها على أنها LAPSUS $ تدعي ضحية أخرى ، يمكن للمنظمات تعلم دروس قيمة حول هذا النوع من الممثلين" ، كما تقول. "اكتسبت العديد من المجموعات الأخرى التي تعمل بالابتزاز فقط مكانة بارزة في الأشهر الأخيرة ، من المحتمل أن تكون مستوحاة من مسيرة LAPSUS $ القصيرة والصاخبة."
كما هو مذكور في التقرير ، من المرجح أن تستهدف مجموعات الابتزاز البيئات السحابية ، والتي غالبًا ما تحتوي على معلومات حساسة وقيمة تسعى إليها مجموعات الابتزاز.
ويضيف تيلز: "غالبًا ما يتم تكوينها بشكل خاطئ بطرق تتيح للمهاجمين الوصول إلى مثل هذه المعلومات بأذونات أقل". "يجب على المؤسسات التأكد من تكوين بيئات السحابة الخاصة بهم وفقًا لمبادئ الامتياز الأقل وإنشاء مراقبة قوية للسلوك المشبوه".
كما هو الحال مع العديد من الجهات الفاعلة في مجال التهديد ، كما تقول ، تظل الهندسة الاجتماعية تكتيكًا موثوقًا به لمجموعات الابتزاز ، والخطوة الأولى التي سيتعين على العديد من المنظمات اتخاذها هي افتراض أنها يمكن أن تكون هدفًا.
تشرح قائلة: "بعد ذلك ، تعد الممارسات القوية مثل المصادقة متعددة العوامل والمصادقة بدون كلمة مرور أمرًا بالغ الأهمية". "يجب على المؤسسات أيضًا تقييم ومعالجة الثغرات الأمنية المعروفة ، لا سيما على منتجات الشبكة الافتراضية الخاصة ، وبروتوكول سطح المكتب البعيد ، والدليل النشط."
وتضيف أنه على الرغم من تحقيق الوصول الأولي عادةً من خلال الهندسة الاجتماعية ، إلا أن الثغرات الأمنية القديمة لا تقدر بثمن بالنسبة للجهات الفاعلة في التهديد عند السعي إلى رفع امتيازاتها والتحرك أفقياً عبر الأنظمة للوصول إلى المعلومات الأكثر حساسية التي يمكنهم العثور عليها.
أعضاء LAPSUS $ لا يزالون نشيطين على الأرجح
فقط لأن LAPSUS $ كان هادئًا لعدة أشهر لا يعني أن الفرقة قد توقفت فجأة. غالبًا ما تصبح مجموعات الجرائم الإلكترونية مظلمة للبقاء بعيدًا عن دائرة الضوء وتجنيد أعضاء جدد وتنقيح TTPs الخاصة بهم.
يقول براد كرومبتون ، مدير المعلومات الاستخبارية في Intel 471's Shared Services: "لن نتفاجأ برؤية LAPSUS $ تعود إلى الظهور في المستقبل ، ربما تحت اسم مختلف في محاولة لإبعاد نفسها عن العار من اسم LAPSUS $".
يوضح أنه على الرغم من اعتقال أعضاء مجموعة LAPSUS $ ، إلا أنه يعتقد أن قنوات الاتصال الخاصة بالمجموعة ستظل عاملة وأن العديد من الشركات ستستهدف من قبل الجهات الفاعلة في مجال التهديد بمجرد انتمائها إلى المجموعة.
"بالإضافة إلى ذلك ، قد نرى أيضًا أعضاء مجموعة LAPSUS $ السابقين يطورون TTPs جديدة أو يُحتمل أن ينشئوا مجموعات فرعية من المجموعة مع أعضاء مجموعة موثوق بهم" ، كما يقول. "ومع ذلك ، من غير المحتمل أن تكون هذه مجموعات عامة ومن المحتمل أن تسن درجة أعلى من الأمن التشغيلي ، على عكس سابقاتها."
المال هو الدافع الرئيسي
يوضح كيسي إليس ، المؤسس والرئيس التنفيذي للتكنولوجيا في Bugcrowd ، مزود الأمن السيبراني الجماعي ، أن مجرمي الإنترنت مدفوعون بالمال بينما الدول القومية مدفوعة بالأهداف الوطنية. لذلك ، في حين أن LAPSUS $ لا تلعب وفقًا للقواعد ، فإن أفعالها يمكن التنبؤ بها إلى حد ما.
"الجانب الأكثر خطورة ، في رأيي ، هو أن معظم المنظمات أمضت السنوات الخمس الماضية أو أكثر في تطوير استراتيجيات دفاعية متماثلة تعتمد على الجهات الفاعلة في التهديد مع تعريفات وأهداف محددة جيدًا" ، كما يقول. "عندما يتم إدخال ممثل تهديد فوضوي في هذا المزيج ، تميل اللعبة وتصبح غير متكافئة ، وقلقي الرئيسي بشأن LAPSUS $ والممثلين الآخرين المماثلين هو أن المدافعين لم يستعدوا بالفعل لهذا النوع من التهديد لبعض الوقت."
ويشير إلى أن LAPSUS $ تعتمد بشكل كبير على الهندسة الاجتماعية للحصول على موطئ قدم مبدئي ، لذا فإن تقييم استعداد مؤسستك لتهديدات الهندسة الاجتماعية ، سواء على مستوى التدريب البشري أو مستويات التحكم الفني ، هو إجراء احترازي حكيم يجب اتخاذه هنا.
يقول إليس إنه في حين أن الأهداف المعلنة لكل من LAPSUS $ و Anonymous / Antisec / Lulzsec مختلفة تمامًا ، إلا أنه يعتقد أنهما سيتصرفان بشكل مشابه في المستقبل كممثلين للتهديد.
يقول إن تطور Anonymous في أوائل عام 2010 شهد ظهور مجموعات فرعية وممثلين مختلفين ، ثم تلاشى ، ليحل محله الآخرون الذين تكرروا وضاعفوا التقنيات الناجحة.
يقول: "ربما اختفت LAPSUS $ تمامًا وإلى الأبد ، لكن بصفتي مدافعًا ، لن أعتمد على هذا باعتباره استراتيجيتي الدفاعية الأساسية ضد هذا النوع من التهديد الفوضوي".
