LAPSUS$-utpressingsgruppen har gått stille etter en beryktet og rask økning gjennom trussellandskapet, rettet mot selskaper inkludert Microsoft, NVIDIA og Okta, og gjør seg kjent for sin frihjulende, desentraliserte tilnærming til nettkriminalitet.
Forskere sa imidlertid at gruppen sannsynligvis ikke er borte – og i alle fall kan dens "frekke" taktikk etterlate en arv.
En ny rapport fra eksponeringshåndteringsspesialist Tenable graver i gruppens bakgrunn og taktikken, teknikkene og prosedyrene (TTP-ene) den har brukt, og modnes fra distribuerte denial-of-service-angrep (DDoS) og vandalisme på nettsider til mer sofistikerte metoder. Disse inkluderer bruk av sosiale ingeniørteknikker for å tilbakestille brukerpassord og co-optere multifaktorautentiseringsverktøy (MFA).
«Preget av uberegnelig oppførsel og merkelige krav som ikke kan oppfylles – på et tidspunkt anklaget gruppen til og med et mål for å hacke tilbake – LAPSUS$-gruppens funksjonstid i forkant av nyhetssyklusen om nettsikkerhet var kaotisk,» rapportere notater.
Kaos, mangel på logikk del av planen
"Du kan absolutt kalle LAPSUS$ 'litt punkrock', men jeg prøver å unngå å få dårlige skuespillere til å høres kult ut," bemerker Claire Tills, senior forskningsingeniør ved Tenable. "Deres kaotiske og ulogiske tilnærminger til angrep gjorde det mye vanskeligere å forutsi eller forberede seg på hendelsene, og fanget ofte forsvarere på bakfoten."
Hun forklarer at kanskje på grunn av gruppens desentraliserte struktur og crowdsourcede beslutninger, er målprofilen over alt, noe som betyr at organisasjoner ikke kan operere fra "vi er ikke et interessant mål"-synspunkt med aktører som LAPSUS$.
Tills legger til at det alltid er vanskelig å si om en trusselgruppe har forsvunnet, endret navn eller bare gått midlertidig i dvale.
"Uansett om gruppen som identifiserer seg som LAPSUS$ noen gang krever et annet offer, kan organisasjoner lære verdifulle leksjoner om denne typen skuespillere," sier hun. "Flere andre grupper som kun er utpressing har fått en fremtredende plass de siste månedene, sannsynligvis inspirert av LAPSUS$s korte og støyende karriere."
Som nevnt i rapporten, vil utpressingsgrupper sannsynligvis målrette mot skymiljøer, som ofte inneholder sensitiv, verdifull informasjon som utpressingsgrupper søker.
"De er også ofte feilkonfigurert på måter som gir angripere tilgang til slik informasjon med lavere tillatelser," legger Tills til. "Organisasjoner må sørge for at deres skymiljøer er konfigurert med prinsipper for minste privilegium og innføre robust overvåking for mistenkt atferd."
Som med mange trusselaktører, sier hun, er sosial engineering fortsatt en pålitelig taktikk for utpressingsgrupper, og det første skrittet mange organisasjoner må ta er å anta at de kan være et mål.
"Etter det er robust praksis som multifaktor- og passordløs autentisering avgjørende," forklarer hun. "Organisasjoner må også kontinuerlig vurdere for og utbedre kjente utnyttede sårbarheter, spesielt på virtuelle private nettverksprodukter, Remote Desktop Protocol og Active Directory."
Hun legger til at selv om innledende tilgang vanligvis ble oppnådd gjennom sosial ingeniørkunst, er eldre sårbarheter uvurderlige for trusselaktører når de forsøker å heve privilegiene sine og bevege seg sideveis gjennom systemer for å få tilgang til den mest sensitive informasjonen de kan finne.
LAPSUS$-medlemmer er sannsynligvis fortsatt aktive
Bare fordi LAPSUS$ har vært stille i flere måneder betyr ikke det at gruppen plutselig er nedlagt. Nettkriminalitetsgrupper blir ofte mørke for å holde seg unna rampelyset, rekruttere nye medlemmer og avgrense sine TTP-er.
"Vi ville ikke bli overrasket over å se LAPSUS$ dukke opp igjen i fremtiden, muligens under et annet navn i et forsøk på å distansere seg fra LAPSUS$-navnets beryktelse," sier Brad Crompton, direktør for etterretning for Intel 471s Shared Services.
Han forklarer at selv om LAPSUS$-gruppemedlemmer har blitt arrestert, tror han at gruppens kommunikasjonskanaler vil forbli operative og at mange virksomheter vil bli målrettet av trusselaktører når de først er tilknyttet gruppen.
"I tillegg kan vi også se disse tidligere LAPSUS$-gruppemedlemmene utvikle nye TTP-er eller potensielt skape spinoffs av gruppen med pålitelige gruppemedlemmer," sier han. "Men det er usannsynlig at disse er offentlige grupper og vil sannsynligvis innføre en høyere grad av operasjonell sikkerhet, i motsetning til deres forgjengere."
Penger som hovedmotivator
Casey Ellis, grunnlegger og CTO hos Bugcrowd, en leverandør av nettsikkerhetstjenester, forklarer at nettkriminelle er motivert av penger mens nasjonalstater er motivert av nasjonale mål. Så selv om LAPSUS$ ikke følger reglene, er handlingene deres noe forutsigbare.
"Det farligste aspektet, etter min mening, er at de fleste organisasjoner har brukt de siste fem eller flere årene på å utvikle symmetriske defensive strategier basert på trusselaktører med rimelig veldefinerte definisjoner og mål," sier han. "Når en kaotisk trusselaktør blir introdusert i miksen, vipper spillet og blir asymmetrisk, og min største bekymring for LAPSUS$ og andre lignende aktører er at forsvarere egentlig ikke har forberedt seg på denne typen trusler på lenge."
Han påpeker at LAPSUS$ er avhengig av sosial ingeniørkunst for å få et første fotfeste, så å vurdere organisasjonens beredskap for sosiale ingeniørtrusler, både på nivåene for menneskelig opplæring og teknisk kontroll, er en forsiktig forholdsregel å ta her.
Ellis sier at selv om de uttalte målene til LAPSUS$ og Anonymous/Antisec/Lulzsec er svært forskjellige, tror han at de vil oppføre seg likt i fremtiden som trusselaktører.
Han sier at utviklingen av Anonymous på begynnelsen av 2010-tallet så at forskjellige undergrupper og skuespillere ble fremtredende, for så å forsvinne, bare for å bli erstattet av andre som replikerte og doblet ned på vellykkede teknikker.
"Kanskje LAPSUS$ har forsvunnet fullstendig og for alltid," sier han, "men som forsvarer ville jeg ikke stole på dette som min primære defensive strategi mot denne typen kaotisk trussel."
