De LAPSUS$-afpersingsgroep is stil geworden na een beruchte en snelle opkomst door het bedreigingslandschap, gericht op bedrijven zoals Microsoft, NVIDIA en Okta, en staat bekend om zijn freewheelende, gedecentraliseerde aanpak van cybercriminaliteit.
Onderzoekers zeiden echter dat de groep waarschijnlijk niet verdwenen is - en in ieder geval kunnen de "brutale" tactieken een erfenis achterlaten.
Een nieuw rapport van blootstellingsbeheerspecialist Tenable graaft in de achtergrond van de groep en de tactieken, technieken en procedures (TTP's) die het heeft gebruikt, variërend van gedistribueerde denial-of-service (DDoS)-aanvallen en websitevandalisme tot meer geavanceerde methoden. Deze omvatten het gebruik van social engineering-technieken om gebruikerswachtwoorden opnieuw in te stellen en tools voor coöptatie van multifactor-authenticatie (MFA).
"Gekenmerkt door grillig gedrag en bizarre eisen waaraan niet kan worden voldaan - op een gegeven moment beschuldigde de groep zelfs een doelwit van terughacken - was de ambtstermijn van de LAPSUS$-groep in de voorhoede van de nieuwscyclus over cyberbeveiliging chaotisch," rapporteer notities.
Chaos, gebrek aan logica onderdeel van het plan
"Je zou LAPSUS$ absoluut 'een beetje punkrock' kunnen noemen, maar ik probeer slechte acteurs niet zo cool te laten klinken", zegt Claire Tills, senior research engineer bij Tenable. "Hun chaotische en onlogische benaderingen van aanvallen maakten het veel moeilijker om de incidenten te voorspellen of erop voor te bereiden, waardoor verdedigers vaak achterop raakten."
Ze legt uit dat misschien vanwege de gedecentraliseerde structuur van de groep en crowdsourced-beslissingen, het doelprofiel overal is, wat betekent dat organisaties niet kunnen opereren vanuit het oogpunt van "we zijn geen interessant doelwit" met acteurs als LAPSUS$.
Tills voegt eraan toe dat het altijd moeilijk te zeggen is of een bedreigingsgroep is verdwenen, een nieuwe naam heeft gekregen of gewoon tijdelijk inactief is geworden.
"Ongeacht of de groep die zichzelf identificeert als LAPSUS$ ooit een ander slachtoffer claimt, organisaties kunnen waardevolle lessen leren over dit type acteur", zegt ze. "Verschillende andere groepen die alleen op afpersing werken, hebben de afgelopen maanden aan bekendheid gewonnen, waarschijnlijk geïnspireerd door de korte en onstuimige carrière van LAPSUS$."
Zoals opgemerkt in het rapport, richten afpersingsgroepen zich waarschijnlijk op cloudomgevingen, die vaak gevoelige, waardevolle informatie bevatten waar afpersingsgroepen naar op zoek zijn.
"Ze zijn ook vaak verkeerd geconfigureerd op manieren die aanvallers toegang bieden tot dergelijke informatie met lagere rechten", voegt Tills toe. "Organisaties moeten ervoor zorgen dat hun cloudomgevingen zijn geconfigureerd met de principes van de minste rechten en moeten robuuste monitoring instellen voor verdacht gedrag."
Zoals met veel bedreigingsactoren, zegt ze, blijft social engineering een betrouwbare tactiek voor afpersingsgroepen, en de eerste stap die veel organisaties moeten nemen, is aannemen dat ze een doelwit kunnen zijn.
"Daarna zijn robuuste praktijken zoals multifactor- en wachtwoordloze authenticatie van cruciaal belang", legt ze uit. "Organisaties moeten ook continu bekende kwetsbaarheden beoordelen en verhelpen, met name op virtual private network-producten, Remote Desktop Protocol en Active Directory."
Ze voegt eraan toe dat hoewel de initiële toegang doorgaans werd verkregen via social engineering, legacy-kwetsbaarheden van onschatbare waarde zijn voor bedreigingsactoren wanneer ze hun privileges willen verhogen en zijwaarts door systemen willen gaan om toegang te krijgen tot de meest gevoelige informatie die ze kunnen vinden.
LAPSUS$-leden zijn waarschijnlijk nog actief
Alleen omdat LAPSUS$ al maanden stil is, betekent niet dat de groep plotseling ter ziele is. Cybercriminaliteitsgroepen gaan vaak op het donker om uit de schijnwerpers te blijven, nieuwe leden te werven en hun TTP's te verfijnen.
"Het zou ons niet verbazen als LAPSUS$ in de toekomst weer de kop opsteekt, mogelijk onder een andere naam in een poging afstand te nemen van de schande van de naam LAPSUS$", zegt Brad Crompton, director of intelligence voor Shared Services van Intel 471.
Hij legt uit dat hoewel LAPSUS$-groepsleden zijn gearresteerd, hij gelooft dat de communicatiekanalen van de groep operationeel zullen blijven en dat veel bedrijven het doelwit zullen zijn van bedreigingsactoren zodra ze bij de groep zijn aangesloten.
"Bovendien kunnen we zien dat deze vorige LAPSUS$-groepsleden nieuwe TTP's ontwikkelen of mogelijk spin-offs van de groep creëren met vertrouwde groepsleden", zegt hij. "Het is echter onwaarschijnlijk dat dit openbare groepen zijn en zullen waarschijnlijk een hogere mate van operationele veiligheid bieden, in tegenstelling tot hun voorgangers."
Geld als belangrijkste drijfveer
Casey Ellis, oprichter en CTO bij Bugcrowd, een crowdsourced cybersecurity-provider, legt uit dat cybercriminelen worden gemotiveerd door geld, terwijl natiestaten worden gemotiveerd door nationale doelen. Dus hoewel LAPSUS$ zich niet aan de regels houdt, zijn de acties enigszins voorspelbaar.
"Het gevaarlijkste aspect is naar mijn mening dat de meeste organisaties de afgelopen vijf jaar of meer hebben besteed aan het ontwikkelen van symmetrische defensieve strategieën op basis van bedreigingsactoren met redelijk goed gedefinieerde definities en doelen", zegt hij. "Wanneer een chaotische bedreigingsacteur in de mix wordt geïntroduceerd, kantelt het spel en wordt het asymmetrisch, en mijn grootste zorg over LAPSUS$ en andere soortgelijke spelers is dat verdedigers zich al geruime tijd niet echt op dit soort bedreiging hebben voorbereid."
Hij wijst erop dat LAPSUS$ sterk afhankelijk is van social engineering om een eerste voet aan de grond te krijgen, dus het beoordelen van de gereedheid van uw organisatie voor social engineering-bedreigingen, zowel op het gebied van menselijke training als technische controle, is een voorzichtige voorzorgsmaatregel die hier moet worden genomen.
Ellis zegt dat hoewel de gestelde doelen van LAPSUS$ en Anonymous/Antisec/Lulzsec heel verschillend zijn, hij gelooft dat ze zich in de toekomst als bedreigingsactoren op dezelfde manier zullen gedragen.
Hij zegt dat de evolutie van Anonymous in het begin van de jaren 2010 verschillende subgroepen en acteurs op de voorgrond heeft gebracht en vervolgens heeft laten verdwijnen, om vervolgens te worden vervangen door anderen die succesvolle technieken repliceerden en verdubbelden.
"Misschien is LAPSUS$ volledig en voor altijd verdwenen", zegt hij, "maar als verdediger zou ik hier niet op vertrouwen als mijn primaire verdedigingsstrategie tegen dit soort chaotische dreiging."
