קבוצת הסחיטה ב-LAPSUS$ השתתקה בעקבות עלייה ידועה לשמצה ומהירה בנוף האיומים, מכוונת לחברות כולל מיקרוסופט, NVIDIA ו Okta, וזוכה לשמצה בזכות הגישה החופשית והמבוזרת שלה לפשעי סייבר.
עם זאת, חוקרים אמרו שהקבוצה כנראה לא נעלמה - ובכל מקרה, הטקטיקות ה"חצופות" שלה עשויות להשאיר מורשת.
דוח חדש של מומחה ניהול החשיפות Tenable חופר ברקע של הקבוצה ובטקטיקות, הטכניקות והנהלים (TTPs) שבהם השתמשה, והבשיל מהתקפות מניעת שירות מבוזרות (DDoS) והשחתת אתרים ועד לשיטות מתוחכמות יותר. אלה כוללים שימוש בטכניקות הנדסה חברתית לאיפוס סיסמאות משתמש ושיתוף כלים של אימות רב-גורמי (MFA).
"מאופיינת בהתנהגות לא יציבה ובדרישות מוזרות שלא ניתן לעמוד בהן - בשלב מסוים, הקבוצה אפילו האשימה יעד בפריצה חזרה - כהונתה של קבוצת LAPSUS$ בחזית מחזור החדשות בתחום אבטחת הסייבר הייתה כאוטית", הערות דו"ח.
כאוס, חוסר היגיון חלק מהתוכנית
"אפשר בהחלט לקרוא ל-LAPSUS$ 'קצת פאנק רוק', אבל אני מנסה להימנע מלגרום לשחקנים רעים להישמע כל כך מגניבים", מציינת קלייר טילס, מהנדסת מחקר בכירה בחברת Tenable. "הגישות הכאוטיות והבלתי הגיוניות שלהם להתקפות הקשו בהרבה על חיזוי או הכנה לקראת התקריות, ולעתים קרובות תפסו מגנים על הרגל האחורית".
היא מסבירה שאולי בגלל המבנה המבוזר של הקבוצה והחלטות המונים, פרופיל היעד שלה נמצא בכל מקום, מה שאומר שארגונים לא יכולים לפעול מנקודת המבט של "אנחנו לא יעד מעניין" עם שחקנים כמו LAPSUS$.
טילס מוסיף שתמיד קשה לומר אם קבוצת איומים נעלמה, מיתוגה מחדש או סתם ירדה זמנית.
"לא משנה אם הקבוצה המזהה את עצמה כ-LAPSUS$ אי פעם תובעת קורבן נוסף, ארגונים יכולים ללמוד לקחים חשובים על סוג זה של שחקנים", היא אומרת. "כמה קבוצות אחרות של סחיטה בלבד זכו בולטות בחודשים האחרונים, כנראה בהשראת הקריירה הקצרה והסוערת של LAPSUS$."
כפי שצוין בדוח, סביר להניח שקבוצות סחיטה יתמקדו בסביבות ענן, שלעתים קרובות מכילות מידע רגיש ובעל ערך שקבוצות סחיטה מבקשות.
"לרוב הם גם מוגדרים בצורה שגויה בדרכים המציעות לתוקפים גישה למידע כזה עם הרשאות נמוכות יותר", מוסיף טילס. "ארגונים חייבים להבטיח שסביבות הענן שלהם מוגדרות עם עקרונות המינימום הזכויות ולהפעיל ניטור חזק אחר התנהגות חשודה."
כמו עם גורמי איומים רבים, היא אומרת, הנדסה חברתית נותרה טקטיקה אמינה עבור קבוצות סחיטה, והצעד הראשון שארגונים רבים יצטרכו לנקוט הוא בהנחה שהם יכולים להוות יעד.
"לאחר מכן, שיטות עבודה חזקות כמו אימות רב-גורמי ואימות ללא סיסמה הם קריטיים", היא מסבירה. "ארגונים חייבים גם להעריך באופן רציף ולתקן פגיעויות ידועות שניצלו, במיוחד במוצרי רשת פרטית וירטואלית, פרוטוקול שולחן עבודה מרוחק ו-Active Directory."
היא מוסיפה שלמרות שגישה ראשונית הושגה בדרך כלל באמצעות הנדסה חברתית, פגיעויות מדור קודם חשובות לאין ערוך עבור גורמי איומים כאשר הם מבקשים להעלות את ההרשאות שלהם ולעבור לרוחב דרך מערכות כדי לקבל גישה למידע הרגיש ביותר שהם יכולים למצוא.
סביר להניח שחברי LAPSUS$ עדיין פעילים
רק בגלל ש-LAPSUS$ שקט כבר חודשים לא אומר שהקבוצה נטושה פתאום. קבוצות פשעי סייבר חושלות לעתים קרובות כדי להתרחק מאור הזרקורים, לגייס חברים חדשים ולחדד את ה-TTP שלהם.
"לא נופתע לראות את ה-LAPSUS$ יופיע מחדש בעתיד, אולי תחת שם אחר במאמץ להתרחק מהשמצה של השם LAPSUS$", אומר בראד קרומפטון, מנהל המודיעין עבור השירותים המשותפים של Intel 471.
הוא מסביר שלמרות שחברי קבוצת LAPSUS$ נעצרו, הוא מאמין שערוצי התקשורת של הקבוצה יישארו פעילים ושעסקים רבים יהיו ממוקדים על ידי גורמי איומים ברגע שיהיו קשורים לקבוצה.
"בנוסף, אנו עשויים לראות את חברי הקבוצה הקודמים האלה ב-LAPSUS$ מפתחים TTPs חדשים או עשויים ליצור ספין-אוף של הקבוצה עם חברי קבוצה מהימנים", הוא אומר. "עם זאת, לא סביר שיהיו קבוצות ציבוריות וכנראה יקבעו רמה גבוהה יותר של אבטחה מבצעית, בניגוד לקודמותיהם".
כסף כמניע העיקרי
קייסי אליס, מייסד ו-CTO ב-Bugcrowd, ספק אבטחת סייבר במקור המונים, מסביר שפושעי סייבר מונעים מכסף בעוד שמדינות לאום מונעות על ידי יעדים לאומיים. לכן, בעוד ש-LAPSUS$ לא פועל לפי הכללים, הפעולות שלו צפויות במקצת.
"ההיבט המסוכן ביותר, לדעתי, הוא שרוב הארגונים בילו את חמש השנים האחרונות או יותר בפיתוח אסטרטגיות הגנה סימטריות המבוססות על גורמי איומים עם הגדרות ויעדים מוגדרים היטב", הוא אומר. "כששחקן איום כאוטי מוכנס לתערובת, המשחק נוטה והופך לא-סימטרי, והדאגה העיקרית שלי לגבי LAPSUS$ ושחקנים דומים אחרים היא שהמגנים לא באמת התכוננו לאיום מסוג זה כבר די הרבה זמן".
הוא מציין ש-LAPSUS$ מסתמך במידה רבה על הנדסה חברתית כדי להשיג דריסת רגל ראשונית, ולכן הערכת נכונות הארגון שלך לאיומי הנדסה חברתית, הן ברמת ההכשרה האנושית והן ברמת הבקרה הטכנית, היא אמצעי זהירות נבון שיש לנקוט כאן.
אליס אומר בעוד שהמטרות המוצהרות של LAPSUS$ ו-Anonymous/Antisec/Lulzsec שונות מאוד, הוא מאמין שהם יתנהגו באופן דומה בעתיד כשחקני איום.
לדבריו, האבולוציה של אנונימוס בתחילת שנות ה-2010 ראתה תת-קבוצות ושחקנים שונים עלו לגדולה, ואז נמוגים, רק כדי שהוחלפו באחרים שהשתכפלו והכפילו טכניקות מוצלחות.
"אולי LAPSUS$ נעלם לחלוטין ולתמיד", הוא אומר, "אבל, כמגן, לא הייתי סומך על זה כאסטרטגיית ההגנה העיקרית שלי נגד סוג זה של איום כאוטי."
