Grupa wyłudzeń LAPSUS$ ucichła po znanym i szybkim wzroście w krajobrazie zagrożeń, atakując firmy, w tym Microsoft, NVIDIA i Octa, a także zdobywa rozgłos dzięki swobodnemu, zdecentralizowanemu podejściu do cyberprzestępczości.
Jednak naukowcy stwierdzili, że grupa prawdopodobnie nie zniknęła – a w każdym razie jej „bezczelna” taktyka może pozostawić po sobie spuściznę.
Nowy raport od specjalisty ds. zarządzania narażeniem, Tenable, analizuje pochodzenie grupy oraz stosowane przez nią taktyki, techniki i procedury (TTP), od ataków rozproszonej odmowy usługi (DDoS) i wandalizmu na stronach internetowych do bardziej wyrafinowanych metod. Obejmują one użycie technik socjotechniki do resetowania haseł użytkowników i kooptowania narzędzi uwierzytelniania wieloskładnikowego (MFA).
„Charakteryzuje się niekonsekwentnym zachowaniem i dziwacznymi żądaniami, których nie można spełnić – w pewnym momencie grupa oskarżyła nawet cel o włamanie się – kadencja grupy LAPSUS$ na czele cyklu wiadomości o cyberbezpieczeństwie była chaotyczna” Zgłoś notatki.
Chaos, brak logicznej części planu
„Całkowicie można by nazwać LAPSUS$ „trochę punk rocka”, ale staram się unikać sprawiania, by źli aktorzy brzmiały tak fajnie”, zauważa Claire Tills, starszy inżynier ds. badań w Tenable. „Ich chaotyczne i nielogiczne podejście do ataków znacznie utrudniało przewidywanie lub przygotowanie się na incydenty, często łapiąc obrońców w tylną stopę”.
Wyjaśnia, że być może ze względu na zdecentralizowaną strukturę grupy i decyzje oparte na crowdsourcingu, jej profil docelowy jest wszędzie, co oznacza, że organizacje nie mogą działać z punktu widzenia „nie jesteśmy interesującym celem” z aktorami takimi jak LAPSUS$.
Tills dodaje, że zawsze trudno jest stwierdzić, czy grupa zagrożeń zniknęła, zmieniła nazwę, czy po prostu chwilowo przeszła w stan uśpienia.
„Niezależnie od tego, czy grupa identyfikująca się jako LAPSUS$ kiedykolwiek zażąda innej ofiary, organizacje mogą wyciągnąć cenną lekcję na temat tego typu aktora” – mówi. „Kilka innych grup zajmujących się wyłącznie wymuszeniami zyskało na znaczeniu w ostatnich miesiącach, prawdopodobnie zainspirowanych krótką i burzliwą karierą LAPSUS$”.
Jak zauważono w raporcie, grupy wymuszające prawdopodobnie będą atakować środowiska chmurowe, które często zawierają wrażliwe, cenne informacje, których szukają grupy wymuszające.
„Są one również często źle skonfigurowane w sposób, który oferuje atakującym dostęp do takich informacji z niższymi uprawnieniami” – dodaje Tills. „Organizacje muszą zapewnić, że ich środowiska chmurowe są skonfigurowane zgodnie z zasadami najmniejszych uprawnień i wdrożyć solidne monitorowanie pod kątem podejrzanych zachowań”.
Jak w przypadku wielu cyberprzestępców, inżynieria społeczna pozostaje niezawodną taktyką dla grup wymuszających, a pierwszym krokiem, jaki wiele organizacji będzie musiało podjąć, jest założenie, że mogą być celem.
„Potem niezawodne praktyki, takie jak uwierzytelnianie wieloskładnikowe i uwierzytelnianie bez hasła, mają kluczowe znaczenie” — wyjaśnia. „Organizacje muszą również stale oceniać i naprawiać znane, wykorzystywane luki w zabezpieczeniach, szczególnie w produktach wirtualnej sieci prywatnej, Remote Desktop Protocol i Active Directory”.
Dodaje, że chociaż początkowy dostęp był zazwyczaj uzyskiwany za pomocą socjotechniki, starsze luki w zabezpieczeniach są nieocenione dla cyberprzestępców, którzy próbują podnieść swoje uprawnienia i poruszać się w bok przez systemy, aby uzyskać dostęp do najbardziej poufnych informacji, jakie mogą znaleźć.
Członkowie LAPSUS$ prawdopodobnie nadal aktywni
Tylko dlatego, że LAPSUS$ było cicho od miesięcy, nie oznacza, że grupa nagle zniknęła. Grupy cyberprzestępcze często stają się ciemne, aby pozostać poza centrum uwagi, rekrutować nowych członków i udoskonalać swoje TTP.
„Nie bylibyśmy zaskoczeni, gdyby LAPSUS$ pojawił się w przyszłości, być może pod inną nazwą, aby zdystansować się od hańby nazwy LAPSUS$”, mówi Brad Crompton, dyrektor ds. wywiadu w Intel 471 Shared Services.
Wyjaśnia, że chociaż członkowie grupy LAPSUS$ zostali aresztowani, wierzy, że kanały komunikacyjne grupy pozostaną sprawne i że wiele firm stanie się celem ataków cyberprzestępców, którzy będą już związani z grupą.
„Ponadto możemy również zobaczyć, jak poprzedni członkowie grupy LAPSUS$ opracowują nowe TTP lub potencjalnie tworzą spin-offy grupy z zaufanymi członkami grupy”, mówi. „Jednak jest to mało prawdopodobne, aby były to grupy publiczne i prawdopodobnie wprowadzą wyższy stopień bezpieczeństwa operacyjnego, w przeciwieństwie do swoich poprzedników”.
Pieniądze jako główny motywator
Casey Ellis, założyciel i dyrektor ds. technologii w Bugcrowd, dostawcy usług cyberbezpieczeństwa opartych na crowdsourcingu, wyjaśnia, że cyberprzestępcy kierują się pieniędzmi, podczas gdy państwa narodowe kierują się celami narodowymi. Tak więc, chociaż LAPSUS$ nie gra zgodnie z zasadami, jego działania są dość przewidywalne.
„Najbardziej niebezpiecznym aspektem, moim zdaniem, jest to, że większość organizacji spędziła ostatnie pięć lub więcej lat na opracowywaniu symetrycznych strategii obronnych opartych na cyberprzestępcach z dość dobrze zdefiniowanymi definicjami i celami”, mówi. „Kiedy do miksu wprowadza się chaotycznego aktora zagrażającego, gra przechyla się i staje się asymetryczna, a moim głównym zmartwieniem wobec LAPSUS$ i innych podobnych aktorów jest to, że obrońcy tak naprawdę nie przygotowywali się na tego typu zagrożenie od dłuższego czasu”.
Wskazuje, że LAPSUS$ w dużej mierze opiera się na inżynierii społecznej, aby uzyskać wstępny przyczółek, więc ocena gotowości organizacji na zagrożenia związane z inżynierią społeczną, zarówno na poziomie szkolenia ludzi, jak i kontroli technicznej, jest ostrożnym środkiem ostrożności.
Ellis mówi, że chociaż deklarowane cele LAPSUS$ i Anonymous/Antisec/Lulzsec są bardzo różne, wierzy, że będą zachowywać się podobnie w przyszłości jako cyberprzestępcy.
Mówi, że ewolucja Anonimowych na początku 2010 roku sprawiła, że różne podgrupy i aktorzy zyskali na znaczeniu, a następnie zniknęli, tylko po to, by zostać zastąpieni przez innych, którzy powielali i podwajali udane techniki.
„Być może LAPSUS$ zniknął całkowicie i na zawsze”, mówi, „ale jako obrońca nie polegałbym na tym jako na mojej podstawowej strategii obronnej przeciwko tego typu chaotycznemu zagrożeniu”.
- blockchain
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Mroczne czytanie
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- VPN
- zabezpieczenia stron internetowych