Die Erpressungsgruppe LAPSUS$ ist nach einem berüchtigten und schnellen Aufstieg in der Bedrohungslandschaft still geworden und hat Unternehmen wie Microsoft, NVIDIA und andere ins Visier genommen Okta, und erlangte Bekanntheit für seinen freizügigen, dezentralen Ansatz zur Cyberkriminalität.
Forscher sagten jedoch, die Gruppe sei wahrscheinlich nicht verschwunden – und ihre „unverschämten“ Taktiken könnten auf jeden Fall ein Vermächtnis hinterlassen.
Ein neuer Bericht des Exposure-Management-Spezialisten Tenable befasst sich mit dem Hintergrund der Gruppe und den von ihr verwendeten Taktiken, Techniken und Verfahren (TTPs), die von DDoS-Angriffen (Distributed Denial of Service) und Website-Vandalismus bis hin zu ausgefeilteren Methoden reichen. Dazu gehört der Einsatz von Social-Engineering-Techniken zum Zurücksetzen von Benutzerkennwörtern und die Nutzung von Multifaktor-Authentifizierungstools (MFA).
„Gekennzeichnet durch unberechenbares Verhalten und ausgefallene Forderungen, die nicht erfüllt werden können – irgendwann beschuldigte die Gruppe sogar ein Ziel eines Hackerangriffs – war die Amtszeit der LAPSUS$-Gruppe an der Spitze des Cybersicherheits-Nachrichtenzyklus chaotisch“, sagte der Notizen notieren.
Chaos, Mangel an Logik sind Teil des Plans
„Man könnte LAPSUS$ durchaus als ‚ein bisschen Punkrock‘ bezeichnen, aber ich versuche zu vermeiden, dass schlechte Schauspieler so cool klingen“, bemerkt Claire Tills, leitende Forschungsingenieurin bei Tenable. „Ihre chaotischen und unlogischen Herangehensweisen an Angriffe machten es viel schwieriger, Vorfälle vorherzusagen oder sich darauf vorzubereiten, und erwischten die Verteidiger oft auf dem Rückzug.“
Sie erklärt, dass ihr Zielprofil möglicherweise aufgrund der dezentralen Struktur der Gruppe und der Crowdsourcing-Entscheidungen allgegenwärtig ist, was bedeutet, dass Organisationen mit Akteuren wie LAPSUS$ nicht unter dem Gesichtspunkt „Wir sind kein interessantes Ziel“ operieren können.
Tills fügt hinzu, dass es immer schwer zu sagen ist, ob eine Bedrohungsgruppe verschwunden ist, sich umbenannt hat oder nur vorübergehend inaktiv war.
„Unabhängig davon, ob die Gruppe, die sich als LAPSUS$ identifiziert, jemals ein weiteres Opfer fordert, können Organisationen wertvolle Erkenntnisse über diese Art von Schauspieler gewinnen“, sagt sie. „Mehrere andere reine Erpressungsgruppen haben in den letzten Monaten an Bedeutung gewonnen, was wahrscheinlich auf die kurze und turbulente Karriere von LAPSUS$ zurückzuführen ist.“
Wie im Bericht erwähnt, zielen Erpressergruppen wahrscheinlich auf Cloud-Umgebungen ab, die häufig sensible und wertvolle Informationen enthalten, nach denen Erpressergruppen suchen.
„Außerdem sind sie oft so falsch konfiguriert, dass Angreifer mit geringeren Berechtigungen auf solche Informationen zugreifen können“, fügt Tills hinzu. „Organisationen müssen sicherstellen, dass ihre Cloud-Umgebungen nach dem Prinzip der geringsten Rechte konfiguriert sind, und eine solide Überwachung auf verdächtiges Verhalten einrichten.“
Wie bei vielen Bedrohungsakteuren, sagt sie, bleibt Social Engineering eine zuverlässige Taktik für Erpressergruppen, und der erste Schritt, den viele Unternehmen unternehmen müssen, besteht darin, anzunehmen, dass sie ein Ziel sein könnten.
„Danach sind robuste Praktiken wie die Multifaktor- und passwortlose Authentifizierung von entscheidender Bedeutung“, erklärt sie. „Organisationen müssen außerdem kontinuierlich bekannte ausgenutzte Schwachstellen prüfen und beheben, insbesondere bei Produkten für virtuelle private Netzwerke, dem Remote Desktop Protocol und Active Directory.“
Sie fügt hinzu, dass der Erstzugriff zwar in der Regel durch Social Engineering erfolgte, ältere Schwachstellen jedoch für Bedrohungsakteure von unschätzbarem Wert sind, wenn sie ihre Privilegien erweitern und sich seitlich durch Systeme bewegen möchten, um Zugriff auf die sensibelsten Informationen zu erhalten, die sie finden können.
LAPSUS$-Mitglieder sind wahrscheinlich immer noch aktiv
Nur weil LAPSUS$ monatelang still war, heißt das nicht, dass die Gruppe plötzlich aufgelöst ist. Cybercrime-Gruppen gehen oft ins Dunkel, um nicht im Rampenlicht zu stehen, neue Mitglieder zu rekrutieren und ihre TTPs zu verfeinern.
„Wir wären nicht überrascht, wenn LAPSUS$ in Zukunft wieder auftauchen würde, möglicherweise unter einem anderen Namen, um sich von der Schande des Namens LAPSUS$ zu distanzieren“, sagt Brad Crompton, Geheimdienstdirektor für die Shared Services von Intel 471.
Er erklärt, dass er davon ausgeht, dass die Kommunikationskanäle der Gruppe trotz der Verhaftung von Mitgliedern der LAPSUS$-Gruppe weiterhin funktionsfähig bleiben und dass viele Unternehmen ins Visier von Bedrohungsakteuren geraten werden, sobald sie sich der Gruppe angeschlossen haben.
„Darüber hinaus sehen wir möglicherweise auch, dass diese früheren LAPSUS$-Gruppenmitglieder neue TTPs entwickeln oder möglicherweise Spin-offs der Gruppe mit vertrauenswürdigen Gruppenmitgliedern gründen“, sagt er. „Allerdings handelt es sich hierbei wahrscheinlich nicht um öffentliche Gruppen und sie werden im Gegensatz zu ihren Vorgängern wahrscheinlich ein höheres Maß an Betriebssicherheit gewährleisten.“
Geld als Hauptmotivator
Casey Ellis, Gründer und CTO von Bugcrowd, einem Crowdsourcing-Anbieter für Cybersicherheit, erklärt, dass Cyberkriminelle durch Geld motiviert werden, während Nationalstaaten durch nationale Ziele motiviert werden. Auch wenn sich LAPSUS$ nicht an die Regeln hält, sind seine Aktionen einigermaßen vorhersehbar.
„Der gefährlichste Aspekt ist meiner Meinung nach, dass die meisten Organisationen in den letzten fünf oder mehr Jahren symmetrische Verteidigungsstrategien entwickelt haben, die auf Bedrohungsakteuren mit einigermaßen klar definierten Definitionen und Zielen basieren“, sagt er. „Wenn ein chaotischer Bedrohungsakteur ins Spiel kommt, kippt das Spiel und wird asymmetrisch, und meine größte Sorge bei LAPSUS$ und anderen ähnlichen Akteuren ist, dass sich die Verteidiger schon seit geraumer Zeit nicht mehr wirklich auf diese Art von Bedrohung vorbereitet haben.“
Er weist darauf hin, dass LAPSUS$ in hohem Maße auf Social Engineering angewiesen ist, um zunächst Fuß zu fassen. Daher ist es eine kluge Vorsichtsmaßnahme, die Bereitschaft Ihres Unternehmens gegenüber Social Engineering-Bedrohungen zu beurteilen, sowohl auf der Ebene der menschlichen Schulung als auch auf der Ebene der technischen Kontrolle.
Ellis sagt, dass die erklärten Ziele von LAPSUS$ und Anonymous/Antisec/Lulzsec zwar sehr unterschiedlich seien, er aber davon ausgeht, dass sie sich in Zukunft als Bedrohungsakteure ähnlich verhalten werden.
Er sagt, die Entwicklung von Anonymous in den frühen 2010er Jahren habe dazu geführt, dass verschiedene Untergruppen und Akteure an Bedeutung gewonnen hätten, dann wieder verschwunden seien und durch andere ersetzt worden seien, die erfolgreiche Techniken nachahmten und verdoppelten.
„Vielleicht ist LAPSUS$ völlig und für immer verschwunden“, sagt er, „aber als Verteidiger würde ich mich nicht darauf verlassen, dass dies meine primäre Verteidigungsstrategie gegen diese Art chaotischer Bedrohung ist.“
