LAPSUS$-afpresningsgruppen er gået stille efter en berygtet og hurtig stigning gennem trusselslandskabet, rettet mod virksomheder inklusive Microsoft, NVIDIA og Okta, og opnår berømthed for sin friløbende, decentraliserede tilgang til cyberkriminalitet.
Forskere sagde dog, at gruppen sandsynligvis ikke er væk - og under alle omstændigheder kan dens "frække" taktik efterlade en arv.
En ny rapport fra eksponeringsstyringsspecialist Tenable graver i gruppens baggrund og de taktikker, teknikker og procedurer (TTP'er), den har brugt, og modnes fra distribuerede denial-of-service-angreb (DDoS) og hærværk på websteder til mere sofistikerede metoder. Disse omfatter brugen af social engineering-teknikker til at nulstille brugeradgangskoder og co-optere multifactor authentication (MFA) værktøjer.
"Kæretegnet af uberegnelig adfærd og besynderlige krav, som ikke kan opfyldes - på et tidspunkt anklagede gruppen endda et mål for at hacke tilbage - LAPSUS$-gruppens embedsperiode på forkant med cybersikkerhedsnyhedscyklussen var kaotisk," rapport noter.
Kaos, mangel på logik del af planen
"Man kunne absolut kalde LAPSUS$ 'lidt punkrock', men jeg prøver at undgå at få dårlige skuespillere til at lyde så seje," bemærker Claire Tills, seniorforsker hos Tenable. "Deres kaotiske og ulogiske tilgange til angreb gjorde det meget sværere at forudsige eller forberede sig på hændelserne, hvilket ofte fangede forsvarere på bagsiden."
Hun forklarer, at måske på grund af gruppens decentraliserede struktur og crowdsourcede beslutninger, er dens målprofil overalt, hvilket betyder, at organisationer ikke kan operere ud fra et "vi er ikke et interessant mål"-synspunkt med aktører som LAPSUS$.
Tills tilføjer, at det altid er svært at sige, om en trusselgruppe er forsvundet, rebranded eller bare gået midlertidigt i dvale.
"Uanset om gruppen, der identificerer sig selv som LAPSUS$, nogensinde hævder et andet offer, kan organisationer lære værdifulde lektioner om denne type skuespillere," siger hun. "Flere andre grupper, der kun er afpresning, har vundet frem i de seneste måneder, sandsynligvis inspireret af LAPSUS$s korte og larmende karriere."
Som nævnt i rapporten vil afpresningsgrupper sandsynligvis målrette mod skymiljøer, som ofte indeholder følsomme, værdifulde oplysninger, som afpresningsgrupper søger.
"De er også ofte fejlkonfigureret på måder, der giver angribere adgang til sådanne oplysninger med lavere tilladelser," tilføjer Tills. "Organisationer skal sikre, at deres cloudmiljøer er konfigureret med principper for mindste privilegier og indføre robust overvågning for mistænkt adfærd."
Som med mange trusselsaktører, siger hun, forbliver social engineering en pålidelig taktik for afpresningsgrupper, og det første skridt, mange organisationer bliver nødt til at tage, er at antage, at de kan være et mål.
"Derefter er robust praksis som multifaktor- og adgangskodefri godkendelse kritisk," forklarer hun. "Organisationer skal også løbende vurdere for og afhjælpe kendte udnyttede sårbarheder, især på virtuelle private netværksprodukter, Remote Desktop Protocol og Active Directory."
Hun tilføjer, at mens den indledende adgang typisk blev opnået gennem social engineering, er ældre sårbarheder uvurderlige for trusselsaktører, når de søger at hæve deres privilegier og bevæge sig sideværts gennem systemer for at få adgang til de mest følsomme oplysninger, de kan finde.
LAPSUS$-medlemmer sandsynligvis stadig aktive
Bare fordi LAPSUS$ har været stille i flere måneder, betyder det ikke, at gruppen pludselig er nedlagt. Cyberkriminalitetsgrupper bliver ofte mørke for at holde sig ude af rampelyset, rekruttere nye medlemmer og forfine deres TTP'er.
"Vi ville ikke blive overraskede over at se LAPSUS$ dukke op igen i fremtiden, muligvis under et andet navn i et forsøg på at distancere sig fra LAPSUS$-navnets skændsel," siger Brad Crompton, efterretningsdirektør for Intel 471's Shared Services.
Han forklarer, at selvom LAPSUS$-gruppens medlemmer er blevet anholdt, tror han, at gruppens kommunikationskanaler vil forblive operationelle, og at mange virksomheder vil blive ramt af trusselsaktører, når de først er tilknyttet gruppen.
"Derudover kan vi også se disse tidligere LAPSUS$-gruppemedlemmer udvikle nye TTP'er eller potentielt skabe spinoffs af gruppen med betroede gruppemedlemmer," siger han. "Men det er usandsynligt, at disse er offentlige grupper og vil sandsynligvis indføre en højere grad af operationel sikkerhed i modsætning til deres forgængere."
Penge som hovedmotivator
Casey Ellis, grundlægger og CTO hos Bugcrowd, en crowdsourced cybersikkerhedsudbyder, forklarer, at cyberkriminelle er motiveret af penge, mens nationalstater er motiveret af nationale mål. Så selvom LAPSUS$ ikke spiller efter reglerne, er dens handlinger noget forudsigelige.
"Det farligste aspekt er efter min mening, at de fleste organisationer har brugt de sidste fem eller flere år på at udvikle symmetriske defensive strategier baseret på trusselsaktører med rimeligt veldefinerede definitioner og mål," siger han. "Når en kaotisk trusselsaktør introduceres i blandingen, vipper spillet og bliver asymmetrisk, og min største bekymring omkring LAPSUS$ og andre lignende aktører er, at forsvarere ikke rigtig har forberedt sig på denne type trusler i et stykke tid."
Han påpeger, at LAPSUS$ i høj grad er afhængig af social engineering for at få et indledende fodfæste, så det er en forsigtig forholdsregel at tage her at vurdere din organisations parathed til sociale ingeniørmæssige trusler, både på det menneskelige trænings- og tekniske kontrolniveau.
Ellis siger, at selvom de erklærede mål for LAPSUS$ og Anonymous/Antisec/Lulzsec er meget forskellige, tror han, at de vil opføre sig på samme måde i fremtiden som trusselsaktører.
Han siger, at udviklingen af Anonymous i begyndelsen af 2010'erne fik forskellige undergrupper og skuespillere til at blive fremtrædende, for derefter at forsvinde, kun for at blive erstattet af andre, der replikerede og fordoblede succesfulde teknikker.
"Måske er LAPSUS$ forsvundet fuldstændig og for altid," siger han, "men som forsvarer ville jeg ikke stole på dette som min primære defensive strategi mod denne type kaotisk trussel."
