Il gruppo di estorsori LAPSUS$ si è calmato in seguito alla famigerata e rapida ascesa nel panorama delle minacce, prendendo di mira aziende tra cui Microsoft, NVIDIA e Oktae guadagnandosi notorietà per il suo approccio libero e decentralizzato alla criminalità informatica.
Tuttavia, i ricercatori hanno affermato che il gruppo probabilmente non è scomparso e, in ogni caso, le sue tattiche “sfrontate” potrebbero lasciare un’eredità.
Un nuovo rapporto dello specialista in gestione dell'esposizione Tenable approfondisce il background del gruppo e le tattiche, le tecniche e le procedure (TTP) che ha utilizzato, maturando dagli attacchi DDoS (Distributed Denial of Service) e dagli atti vandalici sui siti Web fino a metodi più sofisticati. Questi includono l’uso di tecniche di ingegneria sociale per reimpostare le password degli utenti e cooptare strumenti di autenticazione a più fattori (MFA).
"Caratterizzato da comportamenti irregolari e richieste stravaganti che non possono essere soddisfatte - a un certo punto, il gruppo ha persino accusato un obiettivo di hacking - il mandato del gruppo LAPSUS$ in prima linea nel ciclo di notizie sulla sicurezza informatica è stato caotico", ha affermato note di relazione.
Caos, mancanza di logica, parte del piano
"Si potrebbe assolutamente definire LAPSUS$ 'un po' di punk rock', ma cerco di evitare di far sembrare i cattivi attori così fighi", osserva Claire Tills, ingegnere ricercatore senior presso Tenable. “Il loro approccio caotico e illogico agli attacchi ha reso molto più difficile prevedere o prepararsi agli incidenti, spesso cogliendo i difensori in contropiede”.
Spiega che forse a causa della struttura decentralizzata del gruppo e delle decisioni di crowdsourcing, il suo profilo target è ovunque, il che significa che le organizzazioni non possono operare dal punto di vista del "non siamo un target interessante" con attori come LAPSUS$.
Tills aggiunge che è sempre difficile dire se un gruppo di minacce sia scomparso, rinominato o semplicemente diventato temporaneamente dormiente.
“Indipendentemente dal fatto che il gruppo che si identifica come LAPSUS$ rivendichi mai un’altra vittima, le organizzazioni possono imparare lezioni preziose su questo tipo di attori”, afferma. "Molti altri gruppi di sola estorsione hanno acquisito importanza negli ultimi mesi, probabilmente ispirati dalla breve e turbolenta carriera di LAPSUS$."
Come osservato nel rapporto, è probabile che i gruppi di estorsione prendano di mira gli ambienti cloud, che spesso contengono informazioni sensibili e preziose ricercate dai gruppi di estorsione.
"Spesso sono inoltre configurati in modo errato in modo da offrire agli aggressori l'accesso a tali informazioni con autorizzazioni inferiori", aggiunge Tills. “Le organizzazioni devono garantire che i loro ambienti cloud siano configurati con principi di privilegio minimo e istituire un monitoraggio solido per comportamenti sospetti”.
Come per molti autori di minacce, afferma, l’ingegneria sociale rimane una tattica affidabile per i gruppi di estorsione e il primo passo che molte organizzazioni dovranno compiere è presumere che potrebbero essere un obiettivo.
"Dopodiché, sono fondamentali pratiche solide come l'autenticazione multifattore e senza password", spiega. "Le organizzazioni devono inoltre valutare e correggere continuamente le vulnerabilità sfruttate, in particolare sui prodotti di rete privata virtuale, Remote Desktop Protocol e Active Directory."
Aggiunge che, mentre l’accesso iniziale veniva generalmente ottenuto attraverso l’ingegneria sociale, le vulnerabilità legacy hanno un valore inestimabile per gli autori delle minacce quando cercano di elevare i propri privilegi e spostarsi lateralmente attraverso i sistemi per ottenere l’accesso alle informazioni più sensibili che riescono a trovare.
I membri LAPSUS$ probabilmente sono ancora attivi
Solo perché LAPSUS$ è rimasto in silenzio per mesi non significa che il gruppo sia improvvisamente defunto. I gruppi criminali informatici spesso si nascondono per restare lontani dai riflettori, reclutare nuovi membri e perfezionare i propri TTP.
"Non saremmo sorpresi di vedere LAPSUS$ riapparire in futuro, possibilmente sotto un nome diverso, nel tentativo di prendere le distanze dall'infamia del nome LAPSUS$", afferma Brad Crompton, direttore dell'intelligence per i servizi condivisi di Intel 471.
Spiega che, anche se i membri del gruppo LAPSUS$ sono stati arrestati, ritiene che i canali di comunicazione del gruppo rimarranno operativi e che molte aziende saranno prese di mira dagli autori di minacce una volta affiliate al gruppo.
"Inoltre, potremmo anche vedere questi precedenti membri del gruppo LAPSUS$ sviluppare nuovi TTP o potenzialmente creare spin-off del gruppo con membri fidati", afferma. “Tuttavia, è improbabile che si tratti di gruppi pubblici e probabilmente adotteranno un livello più elevato di sicurezza operativa, a differenza dei loro predecessori”.
Il denaro come motivazione principale
Casey Ellis, fondatore e CTO di Bugcrowd, un fornitore di sicurezza informatica in crowdsourcing, spiega che i criminali informatici sono motivati dal denaro mentre gli stati-nazione sono motivati da obiettivi nazionali. Quindi, anche se LAPSUS$ non rispetta le regole, le sue azioni sono in qualche modo prevedibili.
"L'aspetto più pericoloso, a mio avviso, è che la maggior parte delle organizzazioni ha trascorso gli ultimi cinque o più anni a sviluppare strategie difensive simmetriche basate su attori delle minacce con definizioni e obiettivi ragionevolmente ben definiti", afferma. "Quando nel mix viene introdotto un attore di minacce caotiche, il gioco si inclina e diventa asimmetrico, e la mia principale preoccupazione riguardo LAPSUS$ e altri attori simili è che i difensori non si preparano davvero per questo tipo di minaccia da un bel po' di tempo."
Sottolinea che LAPSUS$ fa molto affidamento sull'ingegneria sociale per ottenere un punto d'appoggio iniziale, quindi valutare la preparazione della propria organizzazione alle minacce di ingegneria sociale, sia a livello di formazione umana che a livello di controllo tecnico, è una precauzione prudente da prendere in questo caso.
Ellis afferma che, sebbene gli obiettivi dichiarati di LAPSUS$ e Anonymous/Antisec/Lulzsec siano molto diversi, ritiene che in futuro si comporteranno in modo simile come autori di minacce.
Dice che l'evoluzione di Anonymous all'inizio degli anni 2010 ha visto vari sottogruppi e attori salire alla ribalta, poi svanire, solo per essere sostituiti da altri che hanno replicato e raddoppiato tecniche di successo.
"Forse LAPSUS$ è scomparso completamente e per sempre", dice, "ma, come difensore, non farei affidamento su questo come strategia difensiva principale contro questo tipo di minaccia caotica."
- blockchain
- portafogli di criptovaluta
- cryptoexchange
- sicurezza informatica
- i criminali informatici
- Cybersecurity
- Lettura oscura
- Dipartimento di Sicurezza Nazionale
- portafogli digitali
- firewall
- Kaspersky
- il malware
- Mcafee
- NextBLOC
- Platone
- platone ai
- Platone Data Intelligence
- Gioco di Platone
- PlatoneDati
- gioco di plato
- VPN
- sicurezza del sito Web
