Kelompok pemerasan LAPSUS menjadi diam menyusul kebangkitan yang terkenal dan cepat melalui lanskap ancaman, menargetkan perusahaan termasuk Microsoft, NVIDIA, dan Okta, dan mendapatkan ketenaran karena pendekatannya yang bebas dan terdesentralisasi terhadap kejahatan dunia maya.
Namun, para peneliti mengatakan kelompok itu kemungkinan besar tidak akan hilang - dan, bagaimanapun, taktik "kurang ajar" mereka mungkin meninggalkan warisan.
Sebuah laporan baru dari spesialis manajemen eksposur Tenable menggali latar belakang grup dan taktik, teknik, dan prosedur (TTP) yang telah digunakan, berkembang dari serangan penolakan layanan (DDoS) terdistribusi dan vandalisme situs web hingga metode yang lebih canggih. Ini termasuk penggunaan teknik rekayasa sosial untuk mengatur ulang kata sandi pengguna dan alat co-opt multifactor authentication (MFA).
โDicirikan oleh perilaku yang tidak menentu dan tuntutan aneh yang tidak dapat dipenuhi โ pada satu titik, kelompok itu bahkan menuduh target peretasan kembali โ masa jabatan kelompok LAPSUS di garis depan siklus berita keamanan siber kacau balau,โ catatan laporan.
Kekacauan, Kurangnya Logika Bagian dari Rencana
โAnda benar-benar bisa menyebut LAPSUS$ 'sedikit punk rock', tapi saya mencoba untuk menghindari membuat aktor jahat terdengar keren,โ kata Claire Tills, insinyur riset senior di Tenable. โPendekatan mereka yang kacau dan tidak logis terhadap serangan membuat lebih sulit untuk memprediksi atau mempersiapkan insiden, sering kali membuat para pemain bertahan tertinggal.โ
Dia menjelaskan bahwa mungkin karena struktur desentralisasi grup dan keputusan crowdsourced, profil targetnya ada di mana-mana, yang berarti organisasi tidak dapat beroperasi dari sudut pandang โkami bukan target yang menarikโ dengan aktor seperti LAPSUS$.
Tills menambahkan bahwa selalu sulit untuk mengatakan apakah kelompok ancaman telah menghilang, berganti nama, atau hanya sementara tidak aktif.
โTerlepas dari apakah kelompok yang mengidentifikasi diri mereka sebagai LAPSUS$ pernah mengklaim korban lain, organisasi dapat belajar pelajaran berharga tentang jenis aktor ini,โ katanya. โBeberapa kelompok pemerasan lainnya telah menjadi terkenal dalam beberapa bulan terakhir, kemungkinan terinspirasi oleh karir singkat dan riuh LAPSUS.โ
Seperti disebutkan dalam laporan, kelompok pemerasan cenderung menargetkan lingkungan cloud, yang sering kali berisi informasi sensitif dan berharga yang dicari oleh kelompok pemerasan.
โMereka juga sering salah dikonfigurasi dengan cara yang menawarkan akses penyerang ke informasi tersebut dengan izin yang lebih rendah,โ tambah Tills. โOrganisasi harus memastikan lingkungan cloud mereka dikonfigurasi dengan prinsip-prinsip yang paling tidak memiliki hak istimewa dan melembagakan pemantauan yang kuat untuk perilaku yang dicurigai.โ
Seperti banyak pelaku ancaman, katanya, rekayasa sosial tetap menjadi taktik yang dapat diandalkan untuk kelompok pemerasan, dan langkah pertama yang perlu diambil banyak organisasi adalah dengan menganggap mereka bisa menjadi target.
โSetelah itu, praktik yang kuat seperti otentikasi multifaktor dan tanpa kata sandi sangat penting,โ jelasnya. โOrganisasi juga harus terus menilai dan memulihkan kerentanan yang diketahui telah dieksploitasi, terutama pada produk jaringan pribadi virtual, Protokol Desktop Jarak Jauh, dan Direktori Aktif.โ
Dia menambahkan bahwa sementara akses awal biasanya dicapai melalui rekayasa sosial, kerentanan warisan sangat berharga bagi aktor ancaman ketika berusaha meningkatkan hak istimewa mereka dan bergerak secara lateral melalui sistem untuk mendapatkan akses ke informasi paling sensitif yang dapat mereka temukan.
Anggota LAPSUS$ Kemungkinan Masih Aktif
Hanya karena LAPSUS$ sepi selama berbulan-bulan, bukan berarti grup ini tiba-tiba bubar. Kelompok kejahatan dunia maya sering kali menjadi gelap untuk menghindari sorotan, merekrut anggota baru, dan menyempurnakan TTP mereka.
โKami tidak akan terkejut melihat LAPSUS$ muncul kembali di masa depan, mungkin dengan nama yang berbeda dalam upaya untuk menjauhkan diri dari nama buruk LAPSUS$,โ kata Brad Crompton, direktur intelijen untuk Layanan Bersama Intel 471.
Dia menjelaskan bahwa meskipun anggota kelompok LAPSUS$ telah ditangkap, dia yakin saluran komunikasi kelompok akan tetap beroperasi dan banyak bisnis akan menjadi sasaran pelaku ancaman setelah berafiliasi dengan kelompok tersebut.
โSelain itu, kami juga dapat melihat anggota grup LAPSUS$ sebelumnya mengembangkan TTP baru atau berpotensi membuat spin-off grup dengan anggota grup tepercaya,โ katanya. โNamun, ini tidak mungkin menjadi kelompok publik dan mungkin akan memberlakukan tingkat keamanan operasional yang lebih tinggi, tidak seperti pendahulunya.โ
Uang sebagai Motivator Utama
Casey Ellis, pendiri dan CTO di Bugcrowd, penyedia keamanan siber crowdsourced, menjelaskan bahwa penjahat dunia maya dimotivasi oleh uang sementara negara-bangsa dimotivasi oleh tujuan nasional. Jadi, sementara LAPSUS$ tidak bermain sesuai aturan, tindakannya agak dapat diprediksi.
โAspek yang paling berbahaya, menurut saya, adalah bahwa sebagian besar organisasi telah menghabiskan lima tahun terakhir atau lebih mengembangkan strategi pertahanan simetris berdasarkan aktor ancaman dengan definisi dan tujuan yang cukup jelas,โ katanya. โKetika aktor ancaman kacau dimasukkan ke dalam campuran, permainan miring dan menjadi asimetris, dan perhatian utama saya tentang LAPSUS$ dan aktor serupa lainnya adalah bahwa para pemain bertahan belum benar-benar mempersiapkan jenis ancaman ini untuk beberapa waktu.โ
Dia menunjukkan LAPSUS$ sangat bergantung pada rekayasa sosial untuk mendapatkan pijakan awal, jadi menilai kesiapan organisasi Anda terhadap ancaman rekayasa sosial, baik pada tingkat pelatihan manusia dan kontrol teknis, adalah tindakan pencegahan yang bijaksana untuk dilakukan di sini.
Ellis mengatakan meskipun tujuan LAPSUS$ dan Anonymous/Antisec/Lulzsec yang dinyatakan sangat berbeda, dia yakin mereka akan berperilaku serupa di masa depan sebagai aktor ancaman.
Dia mengatakan evolusi Anonymous di awal 2010-an melihat berbagai subkelompok dan aktor menjadi terkenal, kemudian menghilang, hanya untuk digantikan oleh orang lain yang direplikasi dan digandakan pada teknik yang sukses.
โMungkin LAPSUS$ telah hilang sepenuhnya dan selamanya,โ katanya, โtetapi, sebagai seorang bek, saya tidak akan mengandalkan ini sebagai strategi pertahanan utama saya melawan jenis ancaman kacau ini.โ
