Η ομάδα εκβιασμών LAPSUS$ έχει σιωπήσει μετά από μια περιβόητη και ταχεία άνοδο στο τοπίο των απειλών, με στόχο εταιρείες όπως η Microsoft, η NVIDIA και ΟΚΤΑ, και κερδίζει τη φήμη για την ελεύθερη, αποκεντρωμένη προσέγγισή της στο έγκλημα στον κυβερνοχώρο.
Ωστόσο, οι ερευνητές είπαν ότι η ομάδα πιθανότατα δεν έχει φύγει - και, σε κάθε περίπτωση, οι «θρασείς» τακτικές της μπορεί να αφήσουν μια κληρονομιά.
Μια νέα έκθεση από τον ειδικό διαχείρισης έκθεσης Tenable εξετάζει το ιστορικό του ομίλου και τις τακτικές, τις τεχνικές και τις διαδικασίες (TTP) που έχει χρησιμοποιήσει, ωριμάζοντας από επιθέσεις κατανεμημένης άρνησης υπηρεσίας (DDoS) και βανδαλισμούς ιστοτόπων σε πιο εξελιγμένες μεθόδους. Αυτά περιλαμβάνουν τη χρήση τεχνικών κοινωνικής μηχανικής για την επαναφορά των κωδικών πρόσβασης χρηστών και τη συνεπιλογή εργαλείων ελέγχου ταυτότητας πολλαπλών παραγόντων (MFA).
«Χαρακτηρίζεται από ακανόνιστη συμπεριφορά και παράξενες απαιτήσεις που δεν μπορούν να ικανοποιηθούν - σε ένα σημείο, η ομάδα κατηγόρησε ακόμη και έναν στόχο για hack back - η θητεία του ομίλου LAPSUS$ στην πρώτη γραμμή του κύκλου ειδήσεων για την ασφάλεια στον κυβερνοχώρο ήταν χαοτική. σημειώσεις αναφοράς.
Χάος, Έλλειψη Λογικής Μέρος του Σχεδίου
«Θα μπορούσατε οπωσδήποτε να αποκαλέσετε το LAPSUS$ «λίγο punk rock», αλλά προσπαθώ να αποφύγω να κάνω τους κακούς ηθοποιούς να ακούγονται τόσο ωραίοι», σημειώνει η Claire Tills, ανώτερη ερευνήτρια μηχανικός στο Tenable. «Οι χαοτικές και παράλογες προσεγγίσεις τους στις επιθέσεις κατέστησαν πολύ πιο δύσκολο να προβλέψουν ή να προετοιμαστούν για τα επεισόδια, συχνά πιάνοντας τους αμυντικούς στο πίσω μέρος».
Εξηγεί ότι ίσως λόγω της αποκεντρωμένης δομής του ομίλου και των αποφάσεων του crowdsourced, το προφίλ στόχων του είναι παντού, πράγμα που σημαίνει ότι οι οργανισμοί δεν μπορούν να λειτουργήσουν από την άποψη «δεν είμαστε ενδιαφέροντα στόχος» με παράγοντες όπως το LAPSUS$.
Ο Τιλς προσθέτει ότι είναι πάντα δύσκολο να πούμε εάν μια ομάδα απειλής έχει εξαφανιστεί, μετονομαστεί ή απλώς έχει προσωρινά αδρανοποιηθεί.
«Ανεξάρτητα από το αν η ομάδα που αυτοπροσδιορίζεται ως LAPSUS$ διεκδικήσει ποτέ άλλο θύμα, οι οργανισμοί μπορούν να μάθουν πολύτιμα μαθήματα για αυτόν τον τύπο ηθοποιών», λέει. «Πολλές άλλες ομάδες μόνο για εκβιασμούς έχουν κερδίσει την προβολή τους τελευταίους μήνες, πιθανώς εμπνευσμένες από τη σύντομη και θορυβώδη καριέρα του LAPSUS$».
Όπως σημειώνεται στην έκθεση, οι ομάδες εκβιαστών είναι πιθανό να στοχεύουν περιβάλλοντα cloud, τα οποία συχνά περιέχουν ευαίσθητες, πολύτιμες πληροφορίες που αναζητούν οι ομάδες εκβιαστών.
«Επίσης συχνά παραμορφώνονται εσφαλμένα με τρόπους που προσφέρουν στους εισβολείς πρόσβαση σε τέτοιες πληροφορίες με χαμηλότερα δικαιώματα», προσθέτει ο Tills. «Οι οργανισμοί πρέπει να διασφαλίσουν ότι τα περιβάλλοντα cloud τους έχουν διαμορφωθεί με αρχές ελάχιστων προνομίων και να θεσπίσουν ισχυρή παρακολούθηση για ύποπτη συμπεριφορά».
Όπως και με πολλούς φορείς απειλών, λέει, η κοινωνική μηχανική παραμένει μια αξιόπιστη τακτική για τις ομάδες εκβιαστών και το πρώτο βήμα που θα χρειαστεί να κάνουν πολλοί οργανισμοί είναι να υποθέσουν ότι θα μπορούσαν να αποτελέσουν στόχο.
«Μετά από αυτό, ισχυρές πρακτικές όπως ο έλεγχος ταυτότητας πολλαπλών παραγόντων και χωρίς κωδικό πρόσβασης είναι κρίσιμες», εξηγεί. "Οι οργανισμοί πρέπει επίσης να αξιολογούν συνεχώς και να αποκαθιστούν γνωστές εκμεταλλευόμενες ευπάθειες, ιδιαίτερα σε προϊόντα εικονικού ιδιωτικού δικτύου, στο πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας και στην υπηρεσία καταλόγου Active Directory."
Προσθέτει ότι ενώ η αρχική πρόσβαση συνήθως επιτυγχανόταν μέσω της κοινωνικής μηχανικής, οι ευπάθειες παλαιού τύπου είναι ανεκτίμητες για να απειλήσουν τους φορείς όταν επιδιώκουν να ανυψώσουν τα προνόμιά τους και να μετακινηθούν πλευρικά μέσω συστημάτων για να αποκτήσουν πρόσβαση στις πιο ευαίσθητες πληροφορίες που μπορούν να βρουν.
Τα μέλη του LAPSUS$ Πιθανόν να είναι ακόμη ενεργά
Ακριβώς επειδή το LAPSUS$ ήταν ήσυχο εδώ και μήνες δεν σημαίνει ότι η ομάδα ξαφνικά καταρρέει. Οι ομάδες εγκλήματος στον κυβερνοχώρο συχνά σκοτώνονται για να μείνουν μακριά από τα φώτα της δημοσιότητας, να στρατολογήσουν νέα μέλη και να βελτιώσουν τα TTP τους.
«Δεν θα εκπλαγούμε αν δούμε το LAPSUS$ να επανεμφανίζεται στο μέλλον, πιθανώς με διαφορετικό όνομα σε μια προσπάθεια να αποστασιοποιηθούν από τη δυσφημία του ονόματος LAPSUS$», λέει ο Brad Crompton, διευθυντής πληροφοριών για τις Shared Services της Intel 471.
Εξηγεί ότι παρόλο που τα μέλη της ομάδας LAPSUS$ έχουν συλληφθεί, πιστεύει ότι τα κανάλια επικοινωνίας της ομάδας θα παραμείνουν λειτουργικά και ότι πολλές επιχειρήσεις θα στοχοποιηθούν από παράγοντες απειλών μόλις συνδεθούν με την ομάδα.
«Επιπλέον, μπορεί επίσης να δούμε αυτά τα προηγούμενα μέλη της ομάδας LAPSUS$ να αναπτύσσουν νέα TTP ή ενδεχομένως να δημιουργούν spinoffs της ομάδας με αξιόπιστα μέλη της ομάδας», λέει. «Ωστόσο, αυτές είναι απίθανο να είναι δημόσιες ομάδες και πιθανότατα θα θεσπίσουν υψηλότερο βαθμό επιχειρησιακής ασφάλειας, σε αντίθεση με τους προκατόχους τους».
Τα χρήματα ως το κύριο κίνητρο
Ο Casey Ellis, ιδρυτής και CTO στο Bugcrowd, έναν πάροχο κυβερνοασφάλειας με crowdsourced, εξηγεί ότι οι κυβερνοεγκληματίες υποκινούνται από χρήματα ενώ τα έθνη-κράτη παρακινούνται από εθνικούς στόχους. Έτσι, ενώ το LAPSUS$ δεν παίζει με τους κανόνες, οι ενέργειές του είναι κάπως προβλέψιμες.
«Η πιο επικίνδυνη πτυχή, κατά τη γνώμη μου, είναι ότι οι περισσότεροι οργανισμοί έχουν ξοδέψει τα τελευταία πέντε ή περισσότερα χρόνια αναπτύσσοντας συμμετρικές αμυντικές στρατηγικές βασισμένες σε παράγοντες απειλών με αρκετά καλά καθορισμένους ορισμούς και στόχους», λέει. «Όταν ένας χαοτικός παράγοντας απειλής εισάγεται στη μίξη, το παιχνίδι γέρνει και γίνεται ασύμμετρο και η κύρια ανησυχία μου για το LAPSUS$ και άλλους παρόμοιους ηθοποιούς είναι ότι οι αμυντικοί δεν προετοιμάζονται πραγματικά για αυτό το είδος απειλής για αρκετό καιρό».
Επισημαίνει ότι το LAPSUS$ βασίζεται σε μεγάλο βαθμό στην κοινωνική μηχανική για να αποκτήσει μια αρχική βάση, επομένως η αξιολόγηση της ετοιμότητας του οργανισμού σας σε απειλές κοινωνικής μηχανικής, τόσο σε επίπεδο ανθρώπινης εκπαίδευσης όσο και σε επίπεδο τεχνικού ελέγχου, είναι μια συνετή προφύλαξη που πρέπει να λάβετε εδώ.
Ο Έλις λέει ότι ενώ οι δηλωμένοι στόχοι των LAPSUS$ και Anonymous/Antisec/Lulzsec είναι πολύ διαφορετικοί, πιστεύει ότι θα συμπεριφέρονται παρόμοια στο μέλλον ως παράγοντες απειλών.
Λέει ότι η εξέλιξη των Anonymous στις αρχές της δεκαετίας του 2010 είδε διάφορες υποομάδες και ηθοποιούς να αναδεικνύονται στο προσκήνιο, στη συνέχεια να εξαφανίζονται, για να αντικατασταθούν από άλλες που επαναλαμβάνουν και διπλασιάζουν τις επιτυχημένες τεχνικές.
«Ίσως το LAPSUS$ να έχει εξαφανιστεί εντελώς και για πάντα», λέει, «αλλά, ως αμυντικός, δεν θα βασιζόμουν σε αυτό ως την κύρια αμυντική μου στρατηγική ενάντια σε αυτού του είδους τη χαοτική απειλή».
- blockchain
- πορτοφόλια κρυπτογράφησης
- κρυπτο -ανταλλαγή
- κυβερνασφάλεια
- εγκληματίες του κυβερνοχώρου
- Κυβερνασφάλεια
- Σκοτεινή ανάγνωση
- Υπουργείο Εσωτερικής Ασφάλειας
- ψηφιακά πορτοφόλια
- firewall
- Kaspersky
- malware
- Mcafee
- Nexbloc
- Πλάτων
- πλάτων αι
- Πληροφορία δεδομένων Plato
- Παιχνίδι Πλάτωνας
- Πλάτωνα δεδομένα
- platogaming
- VPN
- ιστοσελίδα της ασφάλειας
