LAPSUS$:n kiristysryhmä on hiljentynyt pahamaineisen ja nopean nousun jälkeen uhkakuvan läpi ja kohdistunut yrityksiin, kuten Microsoft, NVIDIA ja Okta, ja ansainnut mainetta vapaalla ja hajautetulla lähestymistavalla tietoverkkorikollisuuteen.
Tutkijat kuitenkin sanoivat, että ryhmä ei todennäköisesti ole poissa - ja joka tapauksessa sen "röyhkeä" taktiikka voi jättää perinnön.
Altistumisen hallinnan asiantuntijan Tenablen uusi raportti kaivaa ryhmän taustaa ja sen käyttämiä taktiikoita, tekniikoita ja menettelytapoja (TTP) kypsyen hajautetuista palvelunestohyökkäyksistä (DDoS) ja verkkosivustojen ilkivallasta kehittyneempiin menetelmiin. Näitä ovat muun muassa sosiaalisen suunnittelun tekniikoiden käyttö käyttäjien salasanojen nollaamiseen ja monitekijätodennustyökalujen yhteiskäyttö.
"Lapsus$-ryhmän toimikausi kyberturvallisuuden uutiskierron kärjessä oli kaoottista, jolle on ominaista epäsäännöllinen käyttäytyminen ja omituiset vaatimukset, joita ei voida täyttää - jossain vaiheessa ryhmä jopa syytti kohdetta takaisinmurtamisesta", raportin muistiinpanot.
Kaaos, logiikan puute osa suunnitelmaa
"Voit ehdottomasti kutsua LAPSUS$:a "pieneksi punk rockiksi", mutta yritän välttää saamasta huonoja näyttelijöitä kuulostamaan niin siistiltä", toteaa Tenablen vanhempi tutkimusinsinööri Claire Tills. "Heidän kaoottisen ja epäloogisen lähestymistavan hyökkäyksissä oli paljon vaikeampaa ennustaa tai valmistautua tapahtumiin, ja he saivat usein puolustajia takajaloista."
Hän selittää, että ehkä ryhmän hajautetun rakenteen ja joukkorahoitteisten päätösten vuoksi sen tavoiteprofiili on kaikkialla, mikä tarkoittaa, että organisaatiot eivät voi toimia "emme ole kiinnostava kohde" -näkökulmasta LAPSUS$:n kaltaisten toimijoiden kanssa.
Tills lisää, että on aina vaikea sanoa, onko uhkaryhmä kadonnut, muuttunut brändiksi vai vain väliaikaisesti lepotilassa.
"Riippumatta siitä, vaatiiko itseään LAPSUS$:ksi tunnistava ryhmä koskaan toista uhria, organisaatiot voivat oppia arvokkaita opetuksia tämäntyyppisistä toimijoista", hän sanoo. "Monet muut vain kiristysryhmät ovat nousseet näkyvyyteen viime kuukausina, todennäköisesti LAPSUS$:n lyhyen ja riehakkaan uran inspiroimana."
Kuten raportissa todetaan, kiristysryhmät kohdistavat todennäköisesti pilviympäristöihin, jotka sisältävät usein arkaluontoista, arvokasta tietoa, jota kiristysryhmät etsivät.
"Ne ovat myös usein väärin määritettyjä tavoilla, jotka tarjoavat hyökkääjille pääsyn tällaisiin tietoihin pienemmillä käyttöoikeuksilla", Tills lisää. "Organisaatioiden on varmistettava, että niiden pilviympäristöt on määritetty vähiten etuoikeusperiaatteilla ja otettava käyttöön vankka valvonta epäilyttävän toiminnan varalta."
Kuten monet uhkatekijät, hän sanoo, sosiaalinen suunnittelu on edelleen luotettava taktiikka kiristysryhmille, ja ensimmäinen askel, joka monien organisaatioiden on otettava, on olettaa, että ne voivat olla kohteena.
"Sen jälkeen vahvat käytännöt, kuten monitekijäinen ja salasanaton todennus, ovat kriittisiä", hän selittää. "Organisaatioiden on myös jatkuvasti arvioitava ja korjattava tunnettuja hyödynnettyjä haavoittuvuuksia, erityisesti virtuaalisissa yksityisverkkotuotteissa, Remote Desktop Protocolissa ja Active Directoryssa."
Hän lisää, että vaikka alkuperäinen käyttöoikeus saavutettiin tyypillisesti sosiaalisen manipuloinnin avulla, vanhat haavoittuvuudet ovat korvaamattomia uhkatoimijoille, kun he yrittävät parantaa etuoikeuksiaan ja siirtyä sivusuunnassa järjestelmien läpi päästäkseen käsiksi kaikkein arkaluontoisimpiin löytämiinsä tietoihin.
LAPSUS$:n jäsenet ovat todennäköisesti edelleen aktiivisia
Se, että LAPSUS$ on ollut hiljaa kuukausia, ei tarkoita, että ryhmä olisi yhtäkkiä lakkautettu. Kyberrikollisryhmät menevät usein pimeään pysyäkseen poissa valokeilasta, hankkiakseen uusia jäseniä ja parantaakseen TTP:ään.
"Emme olisi yllättyneitä, jos LAPSUS$ nousisi esiin tulevaisuudessa, mahdollisesti eri nimellä, jotta yritetään etääntyä LAPSUS$-nimen häpeästä", sanoo Brad Crompton, Intel 471:n jaettujen palvelujen tiedustelujohtaja.
Hän selittää, että vaikka LAPSUS$-ryhmän jäseniä on pidätetty, hän uskoo, että ryhmän viestintäkanavat pysyvät toiminnassa ja että monet yritykset joutuvat uhkatoimijoiden kohteeksi, kun ne ovat liittyneet ryhmään.
"Lisäksi voimme myös nähdä näiden aiempien LAPSUS$-ryhmän jäsenten kehittävän uusia TTP:itä tai mahdollisesti luovan spinoffeja ryhmästä luotettujen ryhmän jäsenten kanssa", hän sanoo. "Nämä eivät kuitenkaan todennäköisesti ole julkisia ryhmiä, ja ne todennäköisesti lisäävät käyttöturvallisuutta, toisin kuin edeltäjänsä."
Raha tärkein motivaattori
Casey Ellis, perustaja ja teknologiajohtaja Bugcrowdissa, joukkolähteenä toimivassa kyberturvallisuuden tarjoajassa, selittää, että kyberrikollisia motivoi raha, kun taas kansallisvaltioita motivoivat kansalliset tavoitteet. Joten vaikka LAPSUS$ ei pelaa sääntöjen mukaan, sen toiminta on jossain määrin ennakoitavissa.
"Mielestäni vaarallisin näkökohta on se, että useimmat organisaatiot ovat käyttäneet viimeisen viiden vuoden aikana symmetrisiä puolustusstrategioita, jotka perustuvat uhkatoimijoihin, joilla on kohtuullisen hyvin määritellyt määritelmät ja tavoitteet", hän sanoo. "Kun kaoottinen uhkanäyttelijä tuodaan sekoitukseen, peli kallistuu ja muuttuu epäsymmetriseksi, ja suurin huolenaiheeni LAPSUS$:sta ja muista vastaavista toimijoista on, että puolustajat eivät ole valmistautuneet tämäntyyppiseen uhkaukseen pitkään aikaan."
Hän huomauttaa, että LAPSUS$ luottaa vahvasti sosiaaliseen suunnitteluun saadakseen jalansijaa, joten organisaatiosi valmiuden arvioiminen sosiaalisen suunnittelun uhkille sekä inhimillisen koulutuksen että teknisen valvonnan tasolla on varovainen toimenpide.
Ellis sanoo, että vaikka LAPSUS$:n ja Anonymous/Antisec/Lulzsecin ilmoitetut tavoitteet ovat hyvin erilaisia, hän uskoo, että ne käyttäytyvät tulevaisuudessa samalla tavalla uhkatoimijoina.
Hän sanoo, että Anonymous-kehitys 2010-luvun alussa näki useiden alaryhmien ja näyttelijöiden nousevan näkyvyyteen, sitten haihtuvan, mutta tilalle tulivat muut, jotka toistivat ja tuplasivat onnistuneita tekniikoita.
"Ehkä LAPSUS$ on kadonnut kokonaan ja ikuisiksi ajoiksi", hän sanoo, "mutta puolustajana en luottaisi tähän ensisijaisena puolustusstrategianani tämäntyyppistä kaoottista uhkaa vastaan."
- blockchain
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- Pimeää luettavaa
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- VPN
- verkkosivuilla turvallisuus
