A LAPSUS$ zsaroló csoport elcsendesedett a fenyegetések közepette tapasztalható hírhedt és gyors növekedést követően, amely olyan vállalatokat céloz meg, mint a Microsoft, az NVIDIA és Okta, és a kiberbűnözés szabadon futó, decentralizált megközelítésével szerzett hírnevet.
A kutatók szerint azonban a csoport valószínűleg nem ment el – és mindenesetre „pimasz” taktikája örökséget hagyhat maga után.
Az expozíciókezelési szakértő Tenable új jelentése a csoport hátterét és az általa alkalmazott taktikákat, technikákat és eljárásokat (TTP) kutatja, az elosztott szolgáltatásmegtagadási (DDoS) támadásoktól és a webhely vandalizmustól a kifinomultabb módszerekig. Ezek közé tartozik a social engineering technikák használata a felhasználói jelszavak visszaállítására és a többtényezős hitelesítési (MFA) eszközök együttes használata.
A LAPSUS$ csoport kiberbiztonsági hírciklusának élvonalában kaotikus volt, „amelyre a kiszámíthatatlan viselkedés és a nem teljesíthető szokatlan igények voltak jellemzőek – egy ponton a csoport meg is vádolta a célpontot visszatöréssel” jelentési jegyzetek.
A káosz, a logika hiánya a terv része
„A LAPSUS$-t határozottan nevezhetjük „kis punk rocknak”, de igyekszem elkerülni, hogy a rossz színészek ilyen klasszul szóljanak” – jegyzi meg Claire Tills, a Tenable vezető kutatómérnöke. "Kaotikus és logikátlan megközelítésük a támadásokhoz sokkal nehezebbé tette az incidensek előrejelzését vagy az azokra való felkészülést, és gyakran elkapták a védőket a hátsó lábon."
Elmagyarázza, hogy talán a csoport decentralizált struktúrája és a tömeges döntések miatt célprofilja mindenütt jelen van, ami azt jelenti, hogy a szervezetek nem tudnak a „nem vagyunk érdekes célpont” szemszögből működni olyan szereplőkkel, mint a LAPSUS$.
Tills hozzáteszi, hogy mindig nehéz megmondani, hogy egy fenyegetett csoport eltűnt-e, átnevezte-e márkáját, vagy csak átmenetileg szunnyadt.
„Függetlenül attól, hogy a magukat LAPSUS$-ként azonosító csoport követel-e valaha újabb áldozatot, a szervezetek értékes leckéket vonhatnak le az ilyen típusú színészekről” – mondja. „Az elmúlt hónapokban számos más, kizárólag zsarolással foglalkozó csoport került előtérbe, valószínűleg LAPSUS$ rövid és mozgalmas karrierje ihlette őket.”
Amint a jelentés megjegyzi, a zsarolócsoportok valószínűleg felhőkörnyezeteket céloznak meg, amelyek gyakran érzékeny, értékes információkat tartalmaznak, amelyeket a zsarolócsoportok keresnek.
„Gyakran úgy is rosszul vannak konfigurálva, hogy a támadók alacsonyabb jogosultságokkal férhessenek hozzá az ilyen információkhoz” – teszi hozzá Tills. „A szervezeteknek biztosítaniuk kell, hogy felhőkörnyezetükben a legkevesebb privilégium elvei legyenek beállítva, és robusztus megfigyelést kell bevezetniük a gyanús viselkedésekre.”
Mint sok fenyegető szereplő esetében, a szociális manipuláció továbbra is megbízható taktika marad a zsaroló csoportok számára, és sok szervezetnek az első lépése, hogy feltételezze, hogy célpont lehet.
„Ezt követően az olyan robusztus eljárások, mint a többtényezős és a jelszó nélküli hitelesítés kritikus fontosságúak” – magyarázza. „A szervezeteknek folyamatosan fel kell mérniük és orvosolniuk kell az ismerten kihasznált sebezhetőségeket, különösen a virtuális magánhálózati termékek, a Remote Desktop Protocol és az Active Directory esetében.”
Hozzáteszi, hogy míg a kezdeti hozzáférést jellemzően social engineering révén érték el, az örökölt sebezhetőségek felbecsülhetetlen értékűek a fenyegetés szereplői számára, amikor meg akarják emelni kiváltságaikat, és oldalirányban mozognak a rendszereken keresztül, hogy hozzáférjenek a legérzékenyebb információkhoz, amelyeket találnak.
A LAPSUS$ tagjai valószínűleg még mindig aktívak
Csak azért, mert LAPSUS$ hónapok óta csendben van, még nem jelenti azt, hogy a csoport hirtelen megszűnt. A kiberbűnözéssel foglalkozó csoportok gyakran elsötétülnek, hogy ne kerüljenek a reflektorfénybe, új tagokat toborozzanak, és finomítsák TTP-jüket.
„Nem lennénk meglepve, ha a LAPSUS$ a jövőben újra felszínre kerülne, esetleg más néven, hogy elhatárolódjunk a LAPSUS$ név hírhedtségétől” – mondja Brad Crompton, az Intel 471 megosztott szolgáltatásainak hírszerzési igazgatója.
Elmondja, hogy annak ellenére, hogy a LAPSUS$ csoport tagjait letartóztatták, úgy véli, hogy a csoport kommunikációs csatornái továbbra is működőképesek maradnak, és sok vállalkozást fenyegető szereplők fognak célba érni, ha egyszer csatlakoznak a csoporthoz.
„Emellett azt is láthatjuk, hogy a LAPSUS$ csoport korábbi tagjai új TTP-ket fejlesztenek ki, vagy potenciálisan spinoffot hoznak létre a csoportból megbízható csoporttagokkal” – mondja. "Ezek azonban valószínűleg nem nyilvános csoportok, és valószínűleg magasabb fokú működési biztonságot fognak elérni, ellentétben elődeikkel."
A pénz, mint a fő motivátor
Casey Ellis, a Bugcrowd, a közösségi forrásból származó kiberbiztonsági szolgáltató alapítója és műszaki igazgatója elmagyarázza, hogy a kiberbűnözőket a pénz, míg a nemzetállamokat a nemzeti célok motiválják. Tehát bár a LAPSUS$ nem a szabályok szerint játszik, cselekedetei némileg kiszámíthatók.
„Véleményem szerint a legveszélyesebb szempont az, hogy a legtöbb szervezet az elmúlt öt vagy több évet azzal töltötte, hogy szimmetrikus védekezési stratégiákat dolgozzon ki, amelyek a fenyegetés szereplőire épülnek ésszerűen jól meghatározott definíciókkal és célokkal” – mondja. "Amikor egy kaotikus fenyegetés szereplőjét bevezetik a keverékbe, a játék megbillen és aszimmetrikussá válik, és a LAPSUS$-val és más hasonló szereplőkkel kapcsolatos fő aggodalmam az, hogy a védők már jó ideje nem készültek ilyen típusú fenyegetésekre."
Rámutat, hogy a LAPSUS$ nagymértékben támaszkodik a social engineeringre, hogy megvehesse a lábát, ezért itt körültekintő óvintézkedést jelent, ha felméri, hogy szervezete készen áll-e a social engineering fenyegetésekre, mind az emberi képzés, mind a műszaki ellenőrzés szintjén.
Ellis azt mondja, hogy bár a LAPSUS$ és az Anonymous/Antisec/Lulzsec kinyilvánított céljai nagyon eltérőek, úgy véli, hogy a jövőben hasonlóan fognak viselkedni, mint a fenyegetés szereplői.
Azt mondja, hogy az Anonymous 2010-es évek eleji evolúciója során különböző alcsoportok és szereplők kerültek előtérbe, majd elhalványultak, és helyettük olyanok léptek fel, amelyek megismételték és megduplázták a sikeres technikákat.
„Talán LAPSUS$ teljesen és örökre eltűnt” – mondja –, de védőként nem támaszkodnék erre, mint elsődleges védekezési stratégiámra az ilyen típusú kaotikus fenyegetésekkel szemben.
