Det nysgerrige navn LAPSUS$ lavet store overskrifter i marts 2022 som kælenavnet på en hackerbande, eller, med usminkede ord, som mærket for et berygtet og aktivt kollektiv af cyberkriminelle:
Navnet var noget usædvanligt for et cyberkriminelt hold, som almindeligvis bruger soubriquets, der lyder edgy og destruktive, som f.eks. DEADBOLT, Satan, Darksideog SKYLDELSE.
Som vi nævnte tilbage i marts, bortfalder er et lige så godt moderne latinsk ord som noget for "databrud", og det efterfølgende dollartegn betyder både økonomisk værdi og programmering, idet det er den traditionelle måde at angive, at BASIC variabel er en tekststreng, ikke et tal.
Banden, holdet, besætningen, besiddelsen, kollektivet, flok, kald det, hvad du vil, af angribere præsenterede tilsyneladende en lignende form for tvetydighed i deres cyberkriminalitet.
Nogle gange så de ud til at vise, at de var seriøse med at afpresse penge eller rive kryptovaluta fra deres ofre, men på andre tidspunkter så det ud til, at de simpelthen viste sig.
Microsoft indrømmede på det tidspunkt, at det havde været det infiltreret af LAPSUS$, selvom softwaregiganten omtalte gruppen som DEV-5037, hvor de kriminelle tilsyneladende stjæler gigabyte kildekode.
Okta, en 2FA-tjenesteudbyder, var et andet højt profileret offer, hvor hackerne fik RDP-adgang til en supportteknikers computer og derfor kunne få adgang til en lang række af Oktas interne systemer, som om de var logget ind direkte på Oktas eget netværk .
Denne supportteknologi virkede ikke for Okta, men for et firma, som Okta havde kontrakt med, så angriberne i det væsentlige var i stand til at bryde Oktas netværk uden at bryde Okta selv.
Spændende nok, selvom Oktas brud skete i januar 2022, indrømmede hverken Okta eller dets entreprenør nogen offentlig indrømmelse af bruddet i omkring to måneder, mens en retsmedicinsk undersøgelse tog sted…
…indtil LAPSUS$ tilsyneladende besluttede at foregribe enhver officiel meddelelse af dumpe skærmbilleder for at "bevise" bruddet, ironisk nok på selvsamme dag, som Okta modtog den endelige retsmedicinske rapport fra entreprenøren (hvordan, eller om, LAPSUS$ fik forhåndsadvarsel om rapportens levering er ukendt):
Den næste på angrebsdoketten var grafikchipleverandøren Nvidia, som tilsyneladende også blev ramt af et datatyveri, efterfulgt af en af de mærkeligste krav om ransomware-med-en-forskel registreret – open source din grafikdriverkode, eller andet:
Som vi sagde i Naked Security-podcasten (S3 Ep73):
Normalt er forbindelsen mellem cryptocurrency og ransomware skurkens figur, "Gå hen og køb noget cryptocurrency og send det til os, så dekrypterer vi alle dine filer og/eller sletter dine data." […]
Men i dette tilfælde var forbindelsen med kryptovaluta, de sagde, "Vi glemmer alt om den enorme mængde data, vi stjal, hvis du åbner dine grafikkort, så de kan kryptominere med fuld kraft."
For det går tilbage til en ændring, som Nvidia lavede sidste år [2021], som var meget populær blandt spillere [ved at afskrække kryptominere fra at opkøbe alle Nvidia GPU'er på markedet til ikke-grafiske formål].
En anden slags cyberkriminel?
Selvom de onlineaktiviteter, der tilskrives LAPSUS$, har været alvorligt og uforskammet kriminelle, virkede gruppens adfærd efter udnyttelsen ofte ret gammeldags.
I modsætning til nutidens multimillion-dollar ransomware-angribere, hvis primære motivation er penge, penge og flere penge, var LAPSUS$ tilsyneladende tættere på linje med virus-skrivescenen i slutningen af 1980'erne og 1990'erne, hvor angreb almindeligvis blev udført blot for at prale og "for den lulz”.
(Udtrykket for lulz oversættes nogenlunde som for at fremkalde fornærmende munter latter, baseret på akronymet LOL, forkortelse for "laughing out loud".)
Så da City of London Police meddelte, blot to dage efter, at de slet ikke så muntre skærmbilleder af Okta-angrebet dukkede op, at det havde anholdt hvad der lød som en broget flok unge i Storbritannien for angiveligt at være medlemmer af en hackergruppe...
…verdens it-medier skabte hurtigt en forbindelse med LAPSUS$:
Så vidt vi ved, har britiske retshåndhævere aldrig brugt ordet LAPSUS$ i forbindelse med de mistænkte i denne arrestation, og bemærkede tilbage i marts 2022 blot, at "Vores forespørgsler fortsætter."
Ikke desto mindre blev en tilsyneladende forbindelse med LAPSUS$ udledt af det faktum, at en af de unge, der blev slået, siges at være 17 år gammel og stamme fra Oxfordshire i England.
Fascinerende nok var en hacker på den alder, der angiveligt boede i en by lige uden for Oxford, byen som det omkringliggende amt har sit navn fra, blevet udelukket af en utilfreds cyberkriminel rival ikke længe før, i det, der er kendt som en Doxing.
Doxxing er, hvor en cyberkriminel frigiver stjålne personlige dokumenter og detaljer med vilje, ofte for at sætte en person i fare for at blive arresteret af retshåndhævelse eller i fare for gengældelse fra dårligt informerede eller ondsindede modstandere.
Doxxeren lækkede, hvad han hævdede var sin rivals hjemmeadresse, sammen med personlige oplysninger og billeder af ham og nære familiemedlemmer, samt en masse påstande om, at han var en slags knudepunkt i LAPSUS$-besætningen.
LAPUS$ tilbage i rampelyset
Som du kan forestille dig, den seneste Uber hacking historier genoplivet navnet LAPSUS$, da angriberen i det tilfælde i vid udstrækning blev hævdet at være 18 år gammel, og tilsyneladende kun var interesseret i at vise frem:
Som Chester Wisniewski forklarede i en nylig mini-podcast:
[I] dette tilfælde, […] ser det ud til at være "for lulz". [...Den person, der gjorde det, var for det meste at indsamle trofæer, mens de hoppede gennem netværket – i form af skærmbilleder af alle [de] forskellige værktøjer og hjælpeprogrammer og programmer, der var i brug omkring Uber – og postede dem offentligt, tror jeg for street cred.
Kort efter Uber-hacket blev næsten en times værdi af, hvad der så ud til at være videoklip fra det kommende spil GTA6, tilsyneladende skærmbilleder lavet til debugging og testformål, lækket efter et indbrud i Rockstar-spil.
Endnu en gang var den samme unge hacker, med den samme formodede forbindelse til LAPSUS$, impliceret i angrebet.
Denne gang, rapporterer tyder at hackeren havde mere i tankerne end blot at prale, og angiveligt sagde, at de var det "søger at forhandle en aftale."
Så når City of London Police Tweetet tidligere på ugen, som de havde "anholdt en 17-årig i Oxfordshire mistænkt for hacking"...
Om aftenen torsdag den 22. september 2022 arresterede City of Londons politi en 17-årig i Oxfordshire mistænkt for hacking, som led i en efterforskning støttet af @NCA_UK's Nationale Cyber Crime Unit (NCCU).
Han er fortsat i politiets varetægt. pic.twitter.com/Zfa3OlDR6J
— City of London Police (@CityPolice) September 23, 2022
…du kan forestille dig, hvilke konklusioner Twittersfæren hurtigt nåede frem til.
Det må være den samme person!
Når alt kommer til alt, hvad er chancen for, at vi taler om to forskellige mistænkte og uafhængige mistænkte her?
Det eneste, vi ikke ved, er, hvor LAPSUS$-navnet kommer ind i det, hvis det overhovedet er involveret.
Åh, sikke et sammenfiltret net vi væver/Når vi først øver os i at bedrage.
LÆR HVORDAN DU UNDGÅR LAPSUS$-STYLE ANgreb
Klik og træk på lydbølgerne nedenfor for at springe til ethvert punkt. Du kan også lytte direkte på Soundcloud.
- 2FA
- blockchain
- coingenius
- cryptocurrency tegnebøger
- kryptoverveksling
- cybersikkerhed
- cyberkriminelle
- Cybersecurity
- afdeling for indenrigssikkerhed
- digitale tegnebøger
- firewall
- hacking
- Kaspersky
- bortfalder
- Lov og orden
- malware
- Mcafee
- Naked Security
- Nexbloc
- plato
- platon ai
- Platon Data Intelligence
- Platon spil
- PlatoData
- platogaming
- Rockstar
- Uber
- VPN
- website sikkerhed
- zephyrnet
