گروه اخاذی LAPSUS$ پس از یک افزایش بدنام و سریع در چشم انداز تهدید، ساکت شده و شرکت هایی از جمله مایکروسافت، انویدیا و انویدیا را هدف قرار داده است. Oktaو به خاطر رویکرد آزادانه و غیرمتمرکز خود در قبال جرایم سایبری شهرت پیدا کرده است.
با این حال، محققان گفتند که این گروه احتمالاً از بین نرفته است - و در هر صورت، تاکتیکهای «وحشیانه» آن ممکن است میراثی از خود به جای بگذارند.
گزارش جدیدی از متخصص مدیریت قرار گرفتن در معرض، Tenable به پیشینه گروه و تاکتیکها، تکنیکها و رویهها (TTP) که از حملات انکار سرویس توزیعشده (DDoS) و خرابکاری وبسایتها تا روشهای پیچیدهتر بالغ میشود، میپردازد. اینها شامل استفاده از تکنیکهای مهندسی اجتماعی برای بازنشانی رمزهای عبور کاربر و ابزارهای احراز هویت چند عاملی (MFA) است.
«با رفتار نامنظم و خواستههای عجیب و غریب که نمیتوان آنها را برآورده کرد - در یک مقطع زمانی، این گروه حتی یک هدف را به هک کردن متهم کرد - دوران تصدی گروه LAPSUS$ در خط مقدم چرخه اخبار امنیت سایبری آشفته بود. یادداشت های گزارش.
هرج و مرج، فقدان منطق بخشی از طرح
کلر تیلز، مهندس ارشد تحقیقاتی در Tenable، خاطرنشان می کند: «شما می توانید مطلقاً LAPSUS$ را «یک پانک راک کوچک» بنامید، اما من سعی می کنم از ساختن بازیگران بد جلوه دادن آنقدر باحال جلوگیری کنم. رویکردهای پر هرج و مرج و غیرمنطقی آنها در حملات، پیش بینی یا آماده شدن برای حوادث را بسیار دشوارتر می کرد، و اغلب مدافعان را از پشت می گرفتند.
او توضیح می دهد که شاید به دلیل ساختار غیرمتمرکز گروه و تصمیمات جمع سپاری، نمایه هدف آن در همه جا وجود دارد، به این معنی که سازمان ها نمی توانند از نقطه نظر «ما هدف جالبی نیستیم» با بازیگرانی مانند LAPSUS$ عمل کنند.
تیلز اضافه میکند که همیشه سخت است بگوییم که یک گروه تهدید ناپدید شده، نام تجاری خود را تغییر داده است یا به طور موقت غیرفعال شده است.
او میگوید: «صرف نظر از اینکه گروهی که خود را به عنوان LAPSUS$ معرفی میکنند تا به حال قربانی دیگری را ادعا کنند، سازمانها میتوانند درسهای ارزشمندی درباره این نوع بازیگر بیاموزند. «چند گروه دیگر که فقط اخاذی میکنند در ماههای اخیر مشهور شدهاند که احتمالاً الهامگرفته از حرفه کوتاه و پرهیاهوی LAPSUS$ هستند.»
همانطور که در این گزارش اشاره شد، گروههای اخاذی احتمالاً محیطهای ابری را هدف قرار میدهند که اغلب حاوی اطلاعات حساس و ارزشمندی هستند که گروههای اخاذی به دنبال آن هستند.
تیلز می افزاید: «آنها همچنین اغلب به شکلی اشتباه پیکربندی می شوند که به مهاجمان امکان دسترسی به چنین اطلاعاتی با مجوزهای کمتر را می دهد. «سازمانها باید اطمینان حاصل کنند که محیطهای ابری آنها با اصول کمترین امتیاز پیکربندی شده است و نظارت قوی برای رفتار مشکوک ایجاد کنند.»
او میگوید مانند بسیاری از بازیگران تهدید، مهندسی اجتماعی تاکتیکی قابل اعتماد برای گروههای اخاذی باقی میماند و اولین قدمی که بسیاری از سازمانها باید بردارند این است که فرض کنند میتوانند هدف باشند.
او توضیح میدهد: «پس از آن، روشهای قوی مانند احراز هویت چند عاملی و بدون رمز عبور بسیار مهم هستند. سازمانها همچنین باید بهطور مداوم آسیبپذیریهای شناختهشده مورد بهرهبرداری، بهویژه در محصولات شبکه خصوصی مجازی، پروتکل دسکتاپ از راه دور و اکتیو دایرکتوری را ارزیابی و اصلاح کنند.
او میافزاید که در حالی که دسترسی اولیه معمولاً از طریق مهندسی اجتماعی به دست میآید، آسیبپذیریهای میراثی برای عوامل تهدید در زمانی که به دنبال ارتقای امتیازات خود و حرکت جانبی از طریق سیستمها برای دسترسی به حساسترین اطلاعاتی هستند بسیار ارزشمند است.
اعضای LAPSUS$ احتمالا هنوز فعال هستند
فقط به این دلیل که LAPSUS$ برای ماه ها ساکت بوده به این معنی نیست که گروه به طور ناگهانی از بین رفته است. گروههای جرایم سایبری اغلب تاریک میشوند تا از کانون توجه دور بمانند، اعضای جدید جذب کنند و TTPهای خود را اصلاح کنند.
براد کرامپتون، مدیر اطلاعات سرویسهای مشترک اینتل 471 میگوید: «از اینکه LAPSUS$ در آینده ظاهر شود، احتمالاً با نامی دیگر در تلاش برای فاصله گرفتن از بدنامی نام LAPSUS$، شگفتزده نخواهیم شد.
او توضیح می دهد که با وجود اینکه اعضای گروه LAPSUS$ دستگیر شده اند، او معتقد است که کانال های ارتباطی این گروه همچنان فعال خواهند بود و بسیاری از کسب و کارها پس از وابستگی به این گروه توسط عوامل تهدید هدف قرار خواهند گرفت.
او میگوید: «بهعلاوه، ممکن است اعضای قبلی گروه LAPSUS$ را نیز ببینیم که TTPهای جدیدی را توسعه میدهند یا بهطور بالقوه اسپینآفهای گروه را با اعضای گروه مورد اعتماد ایجاد میکنند». با این حال، بعید است که این گروهها گروههای عمومی باشند و احتمالاً بر خلاف پیشینیان خود، درجه بالاتری از امنیت عملیاتی را اعمال خواهند کرد.»
پول به عنوان محرک اصلی
کیسی الیس، بنیانگذار و مدیر ارشد فناوری Bugcrowd، یک ارائهدهنده امنیت سایبری جمعسپاری، توضیح میدهد که مجرمان سایبری با پول انگیزه دارند در حالی که دولتها با اهداف ملی انگیزه دارند. بنابراین، در حالی که LAPSUS$ طبق قوانین بازی نمی کند، اقدامات آن تا حدودی قابل پیش بینی است.
او میگوید: «به نظر من خطرناکترین جنبه این است که بیشتر سازمانها در پنج یا بیشتر سال گذشته استراتژیهای دفاعی متقارن را بر اساس عوامل تهدید با تعاریف و اهداف کاملاً تعریفشده توسعه دادهاند.» وقتی یک بازیگر تهدید آشفته وارد ترکیب می شود، بازی کج می شود و نامتقارن می شود و نگرانی اصلی من در مورد LAPSUS$ و دیگر بازیگران مشابه این است که مدافعان واقعاً مدت زیادی است که برای این نوع تهدید آماده نشده اند.
او اشاره می کند که LAPSUS$ برای به دست آوردن جایگاه اولیه به شدت به مهندسی اجتماعی متکی است، بنابراین ارزیابی آمادگی سازمان شما برای تهدیدات مهندسی اجتماعی، هم در سطح آموزش انسانی و هم در سطوح کنترل فنی، یک اقدام احتیاطی است که باید در اینجا انجام شود.
الیس می گوید در حالی که اهداف اعلام شده LAPSUS$ و Anonymous/Antisec/Lulzsec بسیار متفاوت است، او معتقد است که آنها در آینده به عنوان بازیگران تهدید مشابه رفتار خواهند کرد.
او میگوید که تکامل Anonymous در اوایل دهه 2010 باعث شد که زیرگروهها و بازیگران مختلف به شهرت رسیدند، سپس محو شدند و تنها با دیگرانی جایگزین شدند که تکنیکهای موفق را تکرار کردند و دوچندان کردند.
او می گوید: «شاید LAPSUS$ به طور کامل و برای همیشه ناپدید شده باشد، اما، به عنوان یک مدافع، به این به عنوان استراتژی دفاعی اولیه خود در برابر این نوع تهدید آشفته تکیه نمی کنم.»