Le groupe d'extorsion LAPSUS$ est resté silencieux suite à une montée rapide et notoire du paysage des menaces, ciblant des entreprises telles que Microsoft, NVIDIA et Okta, et gagne en notoriété pour son approche libre et décentralisée de la cybercriminalité.
Cependant, les chercheurs ont déclaré que le groupe n'avait probablement pas disparu et que, de toute façon, ses tactiques « effrontées » pourraient laisser un héritage.
Un nouveau rapport du spécialiste de la gestion de l'exposition Tenable examine les antécédents du groupe et les tactiques, techniques et procédures (TTP) qu'il a utilisées, allant des attaques par déni de service distribué (DDoS) et du vandalisme de sites Web à des méthodes plus sophistiquées. Celles-ci incluent l’utilisation de techniques d’ingénierie sociale pour réinitialiser les mots de passe des utilisateurs et coopter les outils d’authentification multifacteur (MFA).
"Caractérisé par un comportement erratique et des demandes farfelues qui ne peuvent être satisfaites - à un moment donné, le groupe a même accusé une cible de piratage informatique - le mandat du groupe LAPSUS$ à l'avant-garde du cycle d'actualité sur la cybersécurité a été chaotique", le notes de rapport.
Chaos, manque de logique faisant partie du plan
« On pourrait tout à fait qualifier LAPSUS$ de « petit punk rock », mais j'essaie d'éviter de donner l'impression que les mauvais acteurs ont l'air aussi cool », note Claire Tills, ingénieure de recherche senior chez Tenable. "Leurs approches chaotiques et illogiques des attaques ont rendu beaucoup plus difficile la prévision ou la préparation des incidents, prenant souvent les défenseurs en retrait."
Elle explique que peut-être en raison de la structure décentralisée du groupe et des décisions prises par le crowdsourcing, son profil cible est omniprésent, ce qui signifie que les organisations ne peuvent pas fonctionner du point de vue « nous ne sommes pas une cible intéressante » avec des acteurs comme LAPSUS$.
Tills ajoute qu’il est toujours difficile de dire si un groupe menaçant a disparu, s’il a été renommé ou s’il est simplement temporairement inactif.
« Que le groupe s'identifiant comme LAPSUS$ fasse ou non une autre victime, les organisations peuvent tirer de précieuses leçons sur ce type d'acteur », dit-elle. « Plusieurs autres groupes exclusivement axés sur l’extorsion ont pris de l’importance ces derniers mois, probablement inspirés par la carrière brève et mouvementée de LAPSUS$. »
Comme indiqué dans le rapport, les groupes d'extorsion sont susceptibles de cibler les environnements cloud, qui contiennent souvent des informations sensibles et précieuses recherchées par les groupes d'extorsion.
« Ils sont également souvent mal configurés de manière à offrir aux attaquants un accès à ces informations avec des autorisations inférieures », ajoute Tills. « Les organisations doivent s’assurer que leurs environnements cloud sont configurés selon les principes du moindre privilège et mettre en place une surveillance robuste des comportements suspects. »
Comme pour de nombreux acteurs de la menace, dit-elle, l’ingénierie sociale reste une tactique fiable pour les groupes d’extorsion, et la première étape que de nombreuses organisations devront franchir est de supposer qu’elles pourraient être une cible.
« Après cela, des pratiques robustes telles que l’authentification multifactorielle et sans mot de passe sont essentielles », explique-t-elle. « Les organisations doivent également évaluer en permanence et corriger les vulnérabilités connues et exploitées, en particulier sur les produits de réseaux privés virtuels, le protocole de bureau à distance et Active Directory. »
Elle ajoute que même si l'accès initial était généralement obtenu grâce à l'ingénierie sociale, les vulnérabilités héritées sont inestimables pour les acteurs de la menace lorsqu'ils cherchent à élever leurs privilèges et à se déplacer latéralement dans les systèmes pour accéder aux informations les plus sensibles qu'ils peuvent trouver.
Les membres de LAPSUS$ sont probablement toujours actifs
Ce n’est pas parce que LAPSUS$ est resté silencieux pendant des mois que le groupe a soudainement disparu. Les groupes de cybercriminalité se cachent souvent pour rester à l’écart des projecteurs, recruter de nouveaux membres et affiner leurs TTP.
"Nous ne serions pas surpris de voir LAPSUS$ refaire surface à l'avenir, peut-être sous un nom différent dans le but de se démarquer de l'infamie du nom LAPSUS$", déclare Brad Crompton, directeur du renseignement pour les services partagés d'Intel 471.
Il explique que même si les membres du groupe LAPSUS$ ont été arrêtés, il pense que les canaux de communication du groupe resteront opérationnels et que de nombreuses entreprises seront ciblées par des acteurs menaçants une fois affiliées au groupe.
« De plus, nous pourrions également voir ces anciens membres du groupe LAPSUS$ développer de nouveaux TTP ou potentiellement créer des retombées du groupe avec des membres de confiance », dit-il. "Cependant, il est peu probable qu'il s'agisse de groupes publics et qu'ils assureront probablement un degré plus élevé de sécurité opérationnelle, contrairement à leurs prédécesseurs."
L'argent comme principal facteur de motivation
Casey Ellis, fondateur et directeur technique de Bugcrowd, un fournisseur de cybersécurité participative, explique que les cybercriminels sont motivés par l'argent tandis que les États-nations sont motivés par des objectifs nationaux. Ainsi, même si LAPSUS$ ne respecte pas les règles, ses actions sont quelque peu prévisibles.
« L’aspect le plus dangereux, à mon avis, est que la plupart des organisations ont passé les cinq dernières années ou plus à développer des stratégies défensives symétriques basées sur des acteurs menaçants avec des définitions et des objectifs raisonnablement bien définis », dit-il. "Lorsqu'un acteur menaçant chaotique est introduit dans le mélange, le jeu s'incline et devient asymétrique, et ma principale préoccupation concernant LAPSUS$ et d'autres acteurs similaires est que les défenseurs ne se sont pas vraiment préparés à ce type de menace depuis un certain temps."
Il souligne que LAPSUS$ s'appuie fortement sur l'ingénierie sociale pour prendre pied, donc évaluer l'état de préparation de votre organisation aux menaces d'ingénierie sociale, tant au niveau de la formation humaine que du contrôle technique, est une précaution prudente à prendre ici.
Ellis affirme que même si les objectifs déclarés de LAPSUS$ et d'Anonymous/Antisec/Lulzsec sont très différents, il pense qu'ils se comporteront de la même manière à l'avenir en tant qu'acteurs menaçants.
Il dit que l’évolution d’Anonymous au début des années 2010 a vu divers sous-groupes et acteurs prendre de l’importance, puis disparaître, pour être remplacés par d’autres qui ont reproduit et doublé des techniques efficaces.
"Peut-être que LAPSUS$ a disparu complètement et pour toujours", dit-il, "mais, en tant que défenseur, je ne compterais pas sur cela comme stratégie défensive principale contre ce type de menace chaotique."
- blockchain
- portefeuilles de crypto-monnaie
- cryptoexchange
- la cyber-sécurité
- les cybercriminels
- Cybersécurité
- Lecture sombre
- département de la Sécurité intérieure
- portefeuilles numériques
- pare-feu
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Platon
- platon ai
- Intelligence des données Platon
- Jeu de Platon
- PlatonDonnées
- jeu de platogamie
- VPN
- la sécurité d'un site web
