LAPSUS $の恐喝グループは、Microsoft、NVIDIA、および 、そしてサイバー犯罪への自由奔放な分散型アプローチで悪評を得ています。
しかし、研究者たちは、グループが去っていない可能性が高いと述べました—そして、いずれにせよ、その「勇敢な」戦術は遺産を残すかもしれません。
露出管理のスペシャリストであるTenableからの新しいレポートでは、グループの背景と、グループが使用した戦術、技術、手順(TTP)を掘り下げ、分散型サービス拒否(DDoS)攻撃やWebサイトの破壊行為からより洗練された方法へと成熟しています。 これには、ユーザーパスワードをリセットするためのソーシャルエンジニアリング技術の使用や、多要素認証(MFA)ツールの採用が含まれます。
「不安定な行動と満たすことができない異様な要求を特徴とします—ある時点で、グループはハッキングの標的を非難しさえしました—サイバーセキュリティニュースサイクルの最前線でのLAPSUS$グループの在職期間は混沌としていました」 レポートノート.
カオス、計画の論理部分の欠如
「LAPSUS$は絶対に「小さなパンクロック」と呼ぶことができますが、私は悪役をそれほどクールに聞こえさせないようにしています」と、Tenableのシニアリサーチエンジニアであるクレアティルズは述べています。 「攻撃に対する彼らの混沌とした非論理的なアプローチは、事件の予測や準備をはるかに難しくし、しばしば後ろ足で防御者を捕まえました。」
彼女は、おそらくグループの分散型構造とクラウドソーシングによる決定のために、そのターゲットプロファイルはいたるところにあります。つまり、組織はLAPSUS$のようなアクターとの「興味深いターゲットではない」という観点から運営することはできません。
Tills氏は、脅威グループが消滅したのか、ブランドを変更したのか、一時的に休止状態になったのかを判断するのは常に難しいと付け加えています。
「LAPSUS$として自分自身を識別しているグループが別の犠牲者を主張するかどうかに関係なく、組織はこのタイプのアクターについての貴重な教訓を学ぶことができます」と彼女は言います。 「他のいくつかの恐喝のみのグループは、おそらくLAPSUS $の短くて騒々しい経歴に触発されて、ここ数ヶ月で目立つようになりました。」
レポートに記載されているように、恐喝グループはクラウド環境を標的にする可能性が高く、恐喝グループが求める機密性の高い貴重な情報が含まれていることがよくあります。
「また、攻撃者がより低い権限でそのような情報にアクセスできるように構成が誤っていることもよくあります」とTills氏は付け加えます。 「組織は、クラウド環境が最小特権の原則で構成されていることを確認し、疑わしい動作を確実に監視する必要があります。」
多くの脅威アクターと同様に、ソーシャルエンジニアリングは依然として恐喝グループにとって信頼できる戦術であり、多くの組織が取るべき最初のステップは、彼らが標的になる可能性があると想定することです。
「その後、多要素認証やパスワードなしの認証などの堅牢なプラクティスが重要になります」と彼女は説明します。 「組織はまた、特に仮想プライベートネットワーク製品、リモートデスクトッププロトコル、およびActive Directoryで、悪用された既知の脆弱性を継続的に評価して修正する必要があります。」
彼女は、最初のアクセスは通常ソーシャルエンジニアリングによって達成されましたが、脅威の攻撃者が特権を高め、システムを横方向に移動して見つけた最も機密性の高い情報にアクセスしようとする場合、レガシーの脆弱性は非常に貴重であると付け加えています。
LAPSUS$メンバーはまだアクティブである可能性が高い
LAPSUS $が何ヶ月も静かだったからといって、グループが突然機能しなくなったわけではありません。 サイバー犯罪グループは、スポットライトを避け、新しいメンバーを募集し、TTPを改善するために暗くなることがよくあります。
Intel471のSharedServicesのインテリジェンスディレクターであるBradCromptonは、次のように述べています。
彼は、LAPSUS $グループのメンバーが逮捕されたとしても、グループの通信チャネルは引き続き機能し、多くの企業は、グループに所属すると脅威アクターの標的になると考えていると説明しています。
「さらに、これらの以前のLAPSUS $グループメンバーが新しいTTPを開発したり、信頼できるグループメンバーとのグループのスピンオフを作成したりする可能性もあります」と彼は言います。 「しかし、これらは公的なグループである可能性は低く、前任者とは異なり、おそらくより高度な運用上のセキュリティを制定するでしょう。」
主な動機としてのお金
クラウドソーシングによるサイバーセキュリティプロバイダーであるBugcrowdの創設者兼CTOであるCaseyEllisは、サイバー犯罪者は金銭に動機付けられ、国民国家は国家目標に動機付けられていると説明しています。 したがって、LAPSUS $はルールに従って機能していませんが、そのアクションはある程度予測可能です。
「私の意見では、最も危険な側面は、ほとんどの組織が過去XNUMX年以上を費やして、合理的に明確に定義された定義と目標を持つ脅威アクターに基づいた対称的な防御戦略を開発してきたことです」と彼は言います。 「混沌とした脅威アクターがミックスに導入されると、ゲームは傾いて非対称になります。LAPSUS$や他の同様のアクターに関する私の主な懸念は、防御側がこのタイプの脅威にかなり長い間準備していないことです。」
彼は、LAPSUS $は最初の足がかりを得るためにソーシャルエンジニアリングに大きく依存しているため、人間のトレーニングと技術管理の両方のレベルで、ソーシャルエンジニアリングの脅威に対する組織の準備状況を評価することが賢明な予防策であると指摘します。
Ellisは、LAPSUS$とAnonymous/ Antisec / Lulzsecの目標は大きく異なりますが、将来的には脅威アクターと同じように動作すると考えています。
彼は、2010年代初頭の匿名の進化により、さまざまなサブグループやアクターが目立つようになり、その後消えていきましたが、成功したテクニックを複製して倍増した他のサブグループに取って代わられました。
「おそらくLAPSUS$は完全にそして永遠に消えました」と彼は言います、「しかし、防御者として、私はこのタイプの混沌とした脅威に対する私の主要な防御戦略としてこれに頼りません。」
