LAPSUS$ väljapressimisrühm on vaibunud pärast kurikuulsat ja kiiret tõusu läbi ohumaastiku, mille sihtmärgiks on sellised ettevõtted nagu Microsoft, NVIDIA ja Oktaning pälvib kurikuulsuse oma vabakäelise ja detsentraliseeritud lähenemise tõttu küberkuritegevusele.
Siiski ütlesid teadlased, et rühm ei ole tõenäoliselt kadunud – ja igal juhul võib selle "jultunud" taktika jätta pärandi.
Kokkupuute haldamise spetsialisti Tenable'i uus aruanne uurib grupi tausta ja kasutatud taktikaid, tehnikaid ja protseduure (TTP-sid), alates hajutatud teenuse keelamise (DDoS) rünnakutest ja veebisaitide vandalismist kuni keerukamate meetoditeni. Nende hulka kuuluvad sotsiaalse manipuleerimise tehnikate kasutamine kasutajate paroolide lähtestamiseks ja mitmefaktorilise autentimise (MFA) tööriistade koopteerimine.
"Iseloomustab ebakorrektne käitumine ja võõrad nõudmised, mida ei saa täita – ühel hetkel süüdistas grupp sihtmärki isegi tagasi häkkimises –, oli LAPSUS$ grupi ametiaeg küberjulgeoleku uudiste tsükli esirinnas kaootiline," aruande märkmed.
Kaos, loogika puudumine plaani osa
"Lapsus$ võiks kindlasti nimetada "väikeseks punkrokiks", aga ma püüan vältida halbade näitlejate nii laheda kõla laskmist," märgib Tenable'i vanemteadur Claire Tills. "Nende kaootiline ja ebaloogiline lähenemine rünnakutele muutis intsidentide ennustamise või nendeks valmistumise palju raskemaks, püüdes sageli kaitsjad tagajalgadest kinni."
Ta selgitab, et võib-olla on grupi detsentraliseeritud struktuuri ja rahvahulgaga seotud otsuste tõttu selle sihtprofiil kõikjal, mis tähendab, et organisatsioonid ei saa tegutseda „me ei ole huvitav sihtmärk” vaatenurgast selliste näitlejatega nagu LAPSUS$.
Tills lisab, et alati on raske öelda, kas ohurühm on kadunud, muutunud kaubamärgiks või lihtsalt ajutiselt soiku jäänud.
"Sõltumata sellest, kas end LAPSUS$-na identifitseeriv rühm nõuab kunagi veel ühe ohvri, saavad organisatsioonid seda tüüpi näitlejate kohta väärtuslikke õppetunde õppida," ütleb ta. "Mitmed teised ainult väljapressimisega tegelevad rühmitused on viimastel kuudel esile tõusnud, tõenäoliselt inspireeritud LAPSUS$ lühikesest ja tormilisest karjäärist."
Nagu aruandes märgitud, sihivad väljapressimisrühmad tõenäoliselt pilvekeskkondi, mis sisaldavad sageli tundlikku väärtuslikku teavet, mida väljapressimisrühmad otsivad.
"Need on sageli valesti seadistatud viisil, mis pakub ründajatele juurdepääsu sellisele teabele madalamate õigustega, " lisab Tills. "Organisatsioonid peavad tagama, et nende pilvekeskkonnad on konfigureeritud kõige väiksemate privileegide põhimõtetega ja kehtestama kahtlustatava käitumise tugeva jälgimise."
Nagu paljude ohus osalejate puhul, jääb tema sõnul sotsiaalne manipuleerimine väljapressimisrühmade jaoks usaldusväärseks taktikaks ja esimene samm, mida paljud organisatsioonid peavad tegema, on eeldada, et nad võivad olla sihtmärgiks.
"Pärast seda on sellised tugevad tavad nagu mitmefaktoriline ja paroolita autentimine kriitilise tähtsusega," selgitab ta. "Samuti peavad organisatsioonid pidevalt hindama ja kõrvaldama teadaolevaid ärakasutatud turvaauke, eriti virtuaalse privaatvõrgu toodete, kaugtöölaua protokolli ja Active Directory puhul."
Ta lisab, et kuigi esialgne juurdepääs saavutati tavaliselt sotsiaalse manipuleerimise abil, on pärand haavatavused ohus osalejate jaoks hindamatu väärtusega, kui nad soovivad oma privileege tõsta ja süsteemide kaudu külgsuunas liikuda, et pääseda ligi kõige tundlikumale teabele, mida nad võivad leida.
LAPSUS$ liikmed on tõenäoliselt endiselt aktiivsed
See, et LAPSUS$ on kuude kaupa vaikne olnud, ei tähenda, et grupp on ootamatult kadunud. Küberkuritegevuse rühmitused lähevad sageli pimedaks, et jääda tähelepanu keskpunktist eemale, värvata uusi liikmeid ja täiustada oma TTP-sid.
"Me ei oleks üllatunud, kui LAPSUS$ tulevikus uuesti esile kerkib, võib-olla mõne teise nime all, et distantseeruda LAPSUS$ nime kurikuulsusest," ütleb Brad Crompton, Intel 471 jagatud teenuste luuredirektor.
Ta selgitab, et kuigi grupi LAPSUS$ liikmed on vahistatud, usub ta, et grupi suhtluskanalid jäävad tööle ja paljud ettevõtted on pärast grupiga liitumist ohustajate sihtmärgiks.
"Lisaks võime näha, et need eelmised LAPSUS$ grupi liikmed arendavad uusi TTP-sid või loovad potentsiaalselt grupist spinoffe usaldusväärsete rühmaliikmetega," ütleb ta. "Kuid need ei ole tõenäoliselt avalikud grupid ja erinevalt nende eelkäijatest tagavad tõenäoliselt kõrgema tööturvalisuse."
Raha kui peamine motivaator
Casey Ellis, Bugcrowdi, ühisturbe pakkuja, asutaja ja tehnoloogiadirektor, selgitab, et küberkurjategijaid motiveerib raha, rahvusriike aga riiklikud eesmärgid. Ehkki LAPSUS$ ei mängi reeglite järgi, on selle tegevused mõnevõrra etteaimatavad.
"Minu arvates on kõige ohtlikum aspekt see, et enamik organisatsioone on viimased viis või enam aastat kulutanud sümmeetriliste kaitsestrateegiate väljatöötamisele, mis põhinevad piisavalt täpselt määratletud määratluste ja eesmärkidega ohus osalejatel," ütleb ta. "Kui segusse tuuakse kaootiline ohunäitleja, siis mäng kaldub ja muutub asümmeetriliseks ning minu peamine mure LAPSUS$ ja teiste sarnaste näitlejate pärast on see, et kaitsjad pole seda tüüpi ähvardusteks juba pikka aega valmistunud."
Ta juhib tähelepanu sellele, et LAPSUS$ toetub esmase tugipunkti saamiseks suuresti sotsiaalsele insenerile, seega on siinkohal mõistlik ettevaatusabinõu, et hinnata oma organisatsiooni valmisolekut sotsiaalse inseneri ohtudeks nii inimkoolituse kui ka tehnilise kontrolli tasandil.
Ellis ütleb, et kuigi LAPSUS$ ja Anonymous/Antisec/Lulzseci seatud eesmärgid on väga erinevad, usub ta, et nad käituvad tulevikus ohustajatena sarnaselt.
Ta ütleb, et Anonymous'i evolutsioon 2010. aastate alguses tõi esile erinevad alarühmad ja näitlejad, kes siis hääbusid, et asendada teistega, kes kordasid ja kahekordistasid edukaid tehnikaid.
"Võib-olla on LAPSUS$ täielikult ja igaveseks kadunud," ütleb ta, "kuid kaitsjana ma ei tugineks sellele kui oma peamisele kaitsestrateegiale seda tüüpi kaootilise ohu vastu."
