گروه هرج و مرج LAPSUS$ ساکت می شود، اما تهدید به احتمال زیاد ادامه دارد

گروه اخاذی LAPSUS$ پس از یک افزایش بدنام و سریع در چشم انداز تهدید، ساکت شده و شرکت هایی از جمله مایکروسافت، انویدیا و انویدیا را هدف قرار داده است. Oktaو به خاطر رویکرد آزادانه و غیرمتمرکز خود در قبال جرایم سایبری شهرت پیدا کرده است.

با این حال، محققان گفتند که این گروه احتمالاً از بین نرفته است - و در هر صورت، تاکتیک‌های «وحشیانه» آن ممکن است میراثی از خود به جای بگذارند.

گزارش جدیدی از متخصص مدیریت قرار گرفتن در معرض، Tenable به پیشینه گروه و تاکتیک‌ها، تکنیک‌ها و رویه‌ها (TTP) که از حملات انکار سرویس توزیع‌شده (DDoS) و خرابکاری وب‌سایت‌ها تا روش‌های پیچیده‌تر بالغ می‌شود، می‌پردازد. اینها شامل استفاده از تکنیک‌های مهندسی اجتماعی برای بازنشانی رمزهای عبور کاربر و ابزارهای احراز هویت چند عاملی (MFA) است.

«با رفتار نامنظم و خواسته‌های عجیب و غریب که نمی‌توان آنها را برآورده کرد - در یک مقطع زمانی، این گروه حتی یک هدف را به هک کردن متهم کرد - دوران تصدی گروه LAPSUS$ در خط مقدم چرخه اخبار امنیت سایبری آشفته بود. یادداشت های گزارش.

هرج و مرج، فقدان منطق بخشی از طرح

کلر تیلز، مهندس ارشد تحقیقاتی در Tenable، خاطرنشان می کند: «شما می توانید مطلقاً LAPSUS$ را «یک پانک راک کوچک» بنامید، اما من سعی می کنم از ساختن بازیگران بد جلوه دادن آنقدر باحال جلوگیری کنم. رویکردهای پر هرج و مرج و غیرمنطقی آنها در حملات، پیش بینی یا آماده شدن برای حوادث را بسیار دشوارتر می کرد، و اغلب مدافعان را از پشت می گرفتند.

او توضیح می دهد که شاید به دلیل ساختار غیرمتمرکز گروه و تصمیمات جمع سپاری، نمایه هدف آن در همه جا وجود دارد، به این معنی که سازمان ها نمی توانند از نقطه نظر «ما هدف جالبی نیستیم» با بازیگرانی مانند LAPSUS$ عمل کنند.

تیلز اضافه می‌کند که همیشه سخت است بگوییم که یک گروه تهدید ناپدید شده، نام تجاری خود را تغییر داده است یا به طور موقت غیرفعال شده است.

او می‌گوید: «صرف نظر از اینکه گروهی که خود را به عنوان LAPSUS$ معرفی می‌کنند تا به حال قربانی دیگری را ادعا کنند، سازمان‌ها می‌توانند درس‌های ارزشمندی درباره این نوع بازیگر بیاموزند. «چند گروه دیگر که فقط اخاذی می‌کنند در ماه‌های اخیر مشهور شده‌اند که احتمالاً الهام‌گرفته از حرفه کوتاه و پرهیاهوی LAPSUS$ هستند.»

همانطور که در این گزارش اشاره شد، گروه‌های اخاذی احتمالاً محیط‌های ابری را هدف قرار می‌دهند که اغلب حاوی اطلاعات حساس و ارزشمندی هستند که گروه‌های اخاذی به دنبال آن هستند.

تیلز می افزاید: «آنها همچنین اغلب به شکلی اشتباه پیکربندی می شوند که به مهاجمان امکان دسترسی به چنین اطلاعاتی با مجوزهای کمتر را می دهد. «سازمان‌ها باید اطمینان حاصل کنند که محیط‌های ابری آن‌ها با اصول کمترین امتیاز پیکربندی شده است و نظارت قوی برای رفتار مشکوک ایجاد کنند.»

او می‌گوید مانند بسیاری از بازیگران تهدید، مهندسی اجتماعی تاکتیکی قابل اعتماد برای گروه‌های اخاذی باقی می‌ماند و اولین قدمی که بسیاری از سازمان‌ها باید بردارند این است که فرض کنند می‌توانند هدف باشند.

او توضیح می‌دهد: «پس از آن، روش‌های قوی مانند احراز هویت چند عاملی و بدون رمز عبور بسیار مهم هستند. سازمان‌ها همچنین باید به‌طور مداوم آسیب‌پذیری‌های شناخته‌شده مورد بهره‌برداری، به‌ویژه در محصولات شبکه خصوصی مجازی، پروتکل دسک‌تاپ از راه دور و اکتیو دایرکتوری را ارزیابی و اصلاح کنند.

او می‌افزاید که در حالی که دسترسی اولیه معمولاً از طریق مهندسی اجتماعی به دست می‌آید، آسیب‌پذیری‌های میراثی برای عوامل تهدید در زمانی که به دنبال ارتقای امتیازات خود و حرکت جانبی از طریق سیستم‌ها برای دسترسی به حساس‌ترین اطلاعاتی هستند بسیار ارزشمند است.

اعضای LAPSUS$ احتمالا هنوز فعال هستند

فقط به این دلیل که LAPSUS$ برای ماه ها ساکت بوده به این معنی نیست که گروه به طور ناگهانی از بین رفته است. گروه‌های جرایم سایبری اغلب تاریک می‌شوند تا از کانون توجه دور بمانند، اعضای جدید جذب کنند و TTP‌های خود را اصلاح کنند.

براد کرامپتون، مدیر اطلاعات سرویس‌های مشترک اینتل 471 می‌گوید: «از اینکه LAPSUS$ در آینده ظاهر شود، احتمالاً با نامی دیگر در تلاش برای فاصله گرفتن از بدنامی نام LAPSUS$، شگفت‌زده نخواهیم شد.

او توضیح می دهد که با وجود اینکه اعضای گروه LAPSUS$ دستگیر شده اند، او معتقد است که کانال های ارتباطی این گروه همچنان فعال خواهند بود و بسیاری از کسب و کارها پس از وابستگی به این گروه توسط عوامل تهدید هدف قرار خواهند گرفت.

او می‌گوید: «به‌علاوه، ممکن است اعضای قبلی گروه LAPSUS$ را نیز ببینیم که TTP‌های جدیدی را توسعه می‌دهند یا به‌طور بالقوه اسپین‌آف‌های گروه را با اعضای گروه مورد اعتماد ایجاد می‌کنند». با این حال، بعید است که این گروه‌ها گروه‌های عمومی باشند و احتمالاً بر خلاف پیشینیان خود، درجه بالاتری از امنیت عملیاتی را اعمال خواهند کرد.»

پول به عنوان محرک اصلی

کیسی الیس، بنیان‌گذار و مدیر ارشد فناوری Bugcrowd، یک ارائه‌دهنده امنیت سایبری جمع‌سپاری، توضیح می‌دهد که مجرمان سایبری با پول انگیزه دارند در حالی که دولت‌ها با اهداف ملی انگیزه دارند. بنابراین، در حالی که LAPSUS$ طبق قوانین بازی نمی کند، اقدامات آن تا حدودی قابل پیش بینی است.

او می‌گوید: «به نظر من خطرناک‌ترین جنبه این است که بیشتر سازمان‌ها در پنج یا بیشتر سال گذشته استراتژی‌های دفاعی متقارن را بر اساس عوامل تهدید با تعاریف و اهداف کاملاً تعریف‌شده توسعه داده‌اند.» وقتی یک بازیگر تهدید آشفته وارد ترکیب می شود، بازی کج می شود و نامتقارن می شود و نگرانی اصلی من در مورد LAPSUS$ و دیگر بازیگران مشابه این است که مدافعان واقعاً مدت زیادی است که برای این نوع تهدید آماده نشده اند. 

او اشاره می کند که LAPSUS$ برای به دست آوردن جایگاه اولیه به شدت به مهندسی اجتماعی متکی است، بنابراین ارزیابی آمادگی سازمان شما برای تهدیدات مهندسی اجتماعی، هم در سطح آموزش انسانی و هم در سطوح کنترل فنی، یک اقدام احتیاطی است که باید در اینجا انجام شود.

الیس می گوید در حالی که اهداف اعلام شده LAPSUS$ و Anonymous/Antisec/Lulzsec بسیار متفاوت است، او معتقد است که آنها در آینده به عنوان بازیگران تهدید مشابه رفتار خواهند کرد.

او می‌گوید که تکامل Anonymous در اوایل دهه 2010 باعث شد که زیرگروه‌ها و بازیگران مختلف به شهرت رسیدند، سپس محو شدند و تنها با دیگرانی جایگزین شدند که تکنیک‌های موفق را تکرار کردند و دوچندان کردند.

او می گوید: «شاید LAPSUS$ به طور کامل و برای همیشه ناپدید شده باشد، اما، به عنوان یک مدافع، به این به عنوان استراتژی دفاعی اولیه خود در برابر این نوع تهدید آشفته تکیه نمی کنم.»